**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# 检索 Amazon EKS 附加组件的 IAM 信息
在创建附加组件之前,请使用 AWS CLI 确定如下因素:
+ 该附加组件是否需要 IAM 权限
+ 建议使用的 IAM 策略
## 过程
1. 确定要安装的附加组件的名称以及集群的 Kubernetes 版本。有关附加组件的更多信息,请参阅 [Amazon EKS 附加组件](eks-add-ons.md)。
1. 使用 AWS CLI 确定该附加组件是否需要 IAM 权限。
```
aws eks describe-addon-versions \
--addon-name \
--kubernetes-version
```
例如:
```
aws eks describe-addon-versions \
--addon-name aws-ebs-csi-driver \
--kubernetes-version 1.30
```
审查以下示例输出。请注意,`requiresIamPermissions` 的值为 `true`,即默认的附加组件版本。在检索建议的 IAM 策略时,您需要指定附加组件版本。
```
{
"addons": [
{
"addonName": "aws-ebs-csi-driver",
"type": "storage",
"addonVersions": [
{
"addonVersion": "v1.31.0-eksbuild.1",
"architecture": [
"amd64",
"arm64"
],
"compatibilities": [
{
"clusterVersion": "1.30",
"platformVersions": [
"*"
],
"defaultVersion": true
}
],
"requiresConfiguration": false,
"requiresIamPermissions": true
},
[...]
```
1. 如果附加组件需要 IAM 权限,请使用 AWS CLI 检索建议的 IAM 策略。
```
aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name \
--addon-version
```
例如:
```
aws eks describe-addon-configuration \
--query podIdentityConfiguration \
--addon-name aws-ebs-csi-driver \
--addon-version v1.31.0-eksbuild.1
```
审查以下输出。记下 `recommendedManagedPolicies`。
```
[
{
"serviceAccount": "ebs-csi-controller-sa",
"recommendedManagedPolicies": [
"arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
]
}
]
```
1. 创建 IAM 角色并附加托管策略。或者,审查托管策略并根据需要缩小权限范围。有关更多信息,请参阅 [创建容器组身份关联(AWS 控制台)](pod-id-association.md#pod-id-association-create)。
## 容器组身份支持参考
下表显示了某些 Amazon EKS 附加组件是否支持 EKS 容器组身份。
| 附加组件名称 | 容器组身份支持 | 所需最低版本 |
| --- | --- | --- |
| [Amazon EBS CSI 驱动程序](workloads-add-ons-available-eks.md#add-ons-aws-ebs-csi-driver) | 是 | v1.26.0-eksbuild.1 |
| [Amazon VPC CNI](workloads-add-ons-available-eks.md#add-ons-vpc-cni) | 是 | v1.15.5-eksbuild.1 |
| [Amazon EFS CSI 驱动程序](workloads-add-ons-available-eks.md#add-ons-aws-efs-csi-driver) | 是 | v2.0.5-eksbuild.1 |
| [适用于 OpenTelemetry 的 AWS Distro](workloads-add-ons-available-eks.md#add-ons-adot) | 是 | v0.94.1-eksbuild.1 |
| [适用于 Amazon S3 的 Mountpoint CSI 驱动程序](workloads-add-ons-available-eks.md#mountpoint-for-s3-add-on) | 否 | 不适用 |
| [Amazon CloudWatch 可观测性代理](workloads-add-ons-available-eks.md#amazon-cloudwatch-observability) | 是 | v3.1.0-eksbuild.1 |
此表最近于 2024 年 10 月 28 日更新。