本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将 IAM 角色与服务账户关联
在 Kubernetes 中,您通过添加以下注释到服务账户,定义 IAM 角色与集群中的服务账户关联。
如果您已使用 eksctl 创建了 IAM 角色用于您的服务账户,则在您创建角色时就使用该服务账户完成了该操作。
apiVersion: v1 kind: ServiceAccount metadata: annotations: eks.amazonaws.com/role-arn: arn:aws:iam::<AWS_ACCOUNT_ID>:role/<IAM_ROLE_NAME>
Prerequisites
-
使用现有 集群。如果没有,可以使用 开始使用 Amazon EKS 指南之一创建一个。
-
您的集群的现有 IAM OIDC 提供商。有关更多信息,请参阅为集群创建 IAM OIDC 提供商。
-
现有服务账户。如果您没有 Pod 服务账户,请参阅 Kubernetes 文档中的为 Pod 配置服务账户
。 -
附加了 IAM 策略的现有 IAM 角色。如果没有,请参阅为服务账户创建 IAM 角色和策略。
使用 IAM 角色对服务账户进行注释
-
使用以下命令可通过要用于服务账户的 IAM 角色的 ARN 注释您的服务账户。请务必将
<example values>(包括<>)替换为您自己的值。kubectl annotate serviceaccount -n <SERVICE_ACCOUNT_NAMESPACE> <SERVICE_ACCOUNT_NAME> \ eks.amazonaws.com/role-arn=arn:aws:iam::<AWS_ACCOUNT_ID>:role/<IAM_ROLE_NAME>注意 如果您没有现有服务账户,则需要创建一个。有关更多信息,请参阅 Kubernetes 文档中的为 Pod 配置服务账户
。要使服务账户能够使用 Kubernetes 权限,您必须创建 Role或ClusterRole,然后将角色绑定到服务账户。有关更多信息,请参阅 Kubernetes 文档中的使用 RBAC 授权。例如,在部署 AWS VPC CNI 插件时,部署清单将创建服务账户、集群角色和集群角色绑定。您可以在 上查看 清单GitHub以用作示例。 -
删除并重新创建任何与服务账户关联的现有 Pod,以应用凭据环境变量。变异 Webhook 不将其应用到已经在运行的 Pod。以下命令删除现有
aws-nodeDaemonSet Pod 并使用服务账户注释部署它们。您可以修改命名空间、部署类型和标签,以更新您的特定 Pod。kubectl delete pods -n <kube-system> -l <k8s-app=aws-node> -
确认 Pod 已全部重新启动。
kubectl get pods -n <kube-system> -l <k8s-app=aws-node> -
描述 Pod 之一并确保
AWS_WEB_IDENTITY_TOKEN_FILE和AWS_ROLE_ARN环境变量存在。kubectl exec -n kube-system aws-node-<9rgzw> env | grep AWS输出:
AWS_VPC_K8S_CNI_LOGLEVEL=DEBUG AWS_ROLE_ARN=arn:aws:iam::<AWS_ACCOUNT_ID>:role/<IAM_ROLE_NAME> AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/token