協助改進此頁面
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
擷取 Amazon EKS 附加元件的相關 IAM 資訊
在建立附加元件之前,使用 AWS CLI 確定以下各項:
-
附加元件是否需要 IAM 許可
-
待使用的建議 IAM 政策
程序
-
確定您想要安裝的附加元件名稱,以及您的叢集的 Kubernetes 版本。如需附加元件的詳細資訊,請參閱 Amazon EKS 附加元件。
-
使用 AWS CLI 來確定附加元件是否需要 IAM 許可。
aws eks describe-addon-versions \ --addon-name <addon-name> \ --kubernetes-version <kubernetes-version>例如:
aws eks describe-addon-versions \ --addon-name aws-ebs-csi-driver \ --kubernetes-version 1.30檢閱以下輸出範例。請注意,
requiresIamPermissions是true,以及預設的附加元件版本。若擷取建議的 IAM 政策,您需指定附加元件版本。{ "addons": [ { "addonName": "aws-ebs-csi-driver", "type": "storage", "addonVersions": [ { "addonVersion": "v1.31.0-eksbuild.1", "architecture": [ "amd64", "arm64" ], "compatibilities": [ { "clusterVersion": "1.30", "platformVersions": [ "*" ], "defaultVersion": true } ], "requiresConfiguration": false, "requiresIamPermissions": true }, [...] -
若附加元件需要 IAM 許可,使用 AWS CLI 來擷取建議的 IAM 政策。
aws eks describe-addon-configuration \ --query podIdentityConfiguration \ --addon-name <addon-name> \ --addon-version <addon-version>例如:
aws eks describe-addon-configuration \ --query podIdentityConfiguration \ --addon-name aws-ebs-csi-driver \ --addon-version v1.31.0-eksbuild.1檢閱以下輸出。請記下
recommendedManagedPolicies。[ { "serviceAccount": "ebs-csi-controller-sa", "recommendedManagedPolicies": [ "arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy" ] } ] -
建立 IAM 角色,以及連接建議的受管政策。或者,檢閱受管政策,以及在適用時縮減許可範圍。如需更多資訊,請參閱建立 Pod 身分識別關聯 (AWS 主控台)。
Pod 身分識別支援參考
下面的資料表列出了某些 Amazon EKS 附加元件是否支援 EKS Pod 身分識別。
| 附加元件名稱 | Pod 身分識別支援 | 要求的最低版本 |
|---|---|---|
|
是 |
v1.26.0-eksbuild.1 |
|
|
是 |
v1.15.5-eksbuild.1 |
|
|
是 |
v2.0.5-eksbuild.1 |
|
|
是 |
v0.94.1-eksbuild.1 |
|
|
否 |
N/A |
|
|
是 |
v3.1.0-eksbuild.1 |
這份資料表的最近更新日期為 2024 年 10 月 28 日。
