在CDK中,如何在CDK中复制“`eksctl iamserviceaccount`”命令?
在CDK中,如何在CDK中复制“`eksctl iamserviceaccount`”命令?
提问于 2022-09-12 20:31:17
我想在本指南之后设置外部机密操作符,但是在CDK中这样做。我在复制eksctl create iamserviceaccount步骤时遇到了一些困难。遵循指南创建的blogdemosa角色的信任关系如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::<account_id>:oidc-provider/oidc.eks.us-east-1.amazonaws.com/id/<cluster_oidc_id>"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"oidc.eks.us-east-1.amazonaws.com/id/<cluster_oidc_id>:sub": "system:serviceaccount:default:blogdemosa",
"oidc.eks.us-east-1.amazonaws.com/id/<cluster_oidc_id>:aud": "sts.amazonaws.com"
}
}
}
]
}所以我觉得我的CDK应该是这样的:
const serviceAccountRole = new iam.Role(this, 'ServiceAccountRole', {
roleName: 'ServiceAccountRole',
assumedBy: new iam.FederatedPrincipal(???),
managedPolicies: [iam.ManagedPolicy.fromAwsManagedPolicyName('SecretsManagerReadWrite')]
});
const serviceAccount = cluster.addServiceAccount('ServiceAccount', {
name: 'eso-service-account',
annotations: {
'eks.amazonaws.com/role-arn': serviceAccountRole.roleArn
}
});但是我不知道联邦校长的参数是什么。
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-09-12 23:00:16
我的方法是错误的,这是我所需要做的:
const serviceAccount = cluster.addServiceAccount('ServiceAccount', {
name: 'eso-service-account',
})
serviceAccount.addToPrincipalPolicy(new iam.PolicyStatement({
effect: iam.Effect.ALLOW,
actions: [
'secretsmanager:GetSecretValue',
'secretsmanager:DescribeSecret'
],
resources: [
'arn:aws:secretsmanager:us-east-1:552593679126:secret:*'
]
}));页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/73694956
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号