创建具有 EKS Pod Identity 所需信任策略的 IAM 角色 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

想为本用户指南做出贡献? 滚动到页面底部,然后选择在 GitHub 上编辑此页面。您的贡献有助于我们的用户指南为每个人提供更充分的参考。

创建具有 EKS Pod Identity 所需信任策略的 IAM 角色

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowEksAuthToAssumeRoleForPodIdentity",
            "Effect": "Allow",
            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ]
        }
    ]
}
sts:AssumeRole

在将临时凭证传递给您的容器组之前,EKS 容器组身份使用 AssumeRole 分派 IAM 角色。

sts:TagSession

EKS 容器组身份使用 TagSession 在对 Amazon STS 的请求中包含会话标签

您可以在信任策略的 condition keys 中使用这些标签,来限制哪些服务账户、命名空间和集群可以使用此角色。

有关 Amazon EKS 条件键的列表,请参阅《服务授权参考》中的 Amazon Elastic Kubernetes Service 定义的条件。要了解您可以对哪些操作和资源使用条件键,请参阅 Amazon Elastic Kubernetes Service 定义的操作