将 IAM 角色与服务账户关联

在 Kubernetes 中，您通过添加以下注释到服务账户，定义 IAM 角色与集群中的服务账户关联。

注意

如果您创建了 IAM 角色以与服务账户一起使用eksctl，则在您创建角色时就使用该服务账户完成了该操作。


apiVersion: v1
kind: ServiceAccount
metadata:
  annotations:
    eks.amazonaws.com/role-arn: arn:aws-cn:iam::<ACCOUNT_ID>:role/<IAM_ROLE_NAME>

Prerequisites

使用现有集群。如果还没有存储桶，可以使用其中一个Amazon EKS 入门指南。
集群的现有 IAM OIDC 提供商。有关更多信息，请参阅为您的集群创建 IAM OIDC 提供商。
现有服务帐户。如果您没有此功能，请参阅配置窗格的服务帐户在 Kubernetes 文档中。
具有附加 IAM 策略的现有 IAM 角色。如果没有，请参阅为您的服务账户创建 IAM 角色和策略。

使用 IAM 角色为服务账户添加注释

使用以下命令可通过要用于服务账户的 IAM 角色的 ARN 注释您的服务账户。请务必将<example values>（包括<>) 与您自己的值。
```
kubectl annotate serviceaccount -n <SERVICE_ACCOUNT_NAMESPACE> <SERVICE_ACCOUNT_NAME> \
eks.amazonaws.com/role-arn=arn:aws-cn:iam::<ACCOUNT_ID>:role/<IAM_ROLE_NAME>
```
注意

如果您没有现有服务账户，则需要创建一个账户。有关更多信息，请参阅。配置窗格的服务帐户在 Kubernetes 文档中。要使服务帐户能够使用 Kubernetes 权限，您必须创建Role，或者ClusterRole，然后将角色绑定到服务帐户。有关更多信息，请参阅 Kubernetes 文档中的使用 RBAC 授权。当AmazonVPC CNI 插件，例如，部署清单将创建一个服务账户、集群角色和集群角色绑定。您可以查看清单作 GitHub 示例使用。
删除并重新创建任何与服务账户关联的现有 Pod，以应用凭据环境变量。变异 Webhook 不将其应用到已经在运行的 Pod。以下命令删除现有的 aws-node DaemonSet Pod 并使用服务账户注释部署这些 Pod。您可以修改命名空间、部署类型和标签，以更新您的特定 Pod。
```
kubectl delete pods -n <kube-system> -l <k8s-app=aws-node>
```

确认 Pod 已全部重新启动。


kubectl get pods -n <kube-system>  -l <k8s-app=aws-node>

描述 Pod 之一并确保 AWS_WEB_IDENTITY_TOKEN_FILE 和 AWS_ROLE_ARN 环境变量存在。


kubectl exec -n kube-system <aws-node-9rgzw> env | grep AWS

输出：


AWS_VPC_K8S_CNI_LOGLEVEL=DEBUG
AWS_ROLE_ARN=arn:aws-cn:iam::<ACCOUNT_ID>:role/<IAM_ROLE_NAME>
AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/token

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

创建 IAM 角色和策略

支持的开发工具包