IAM-Richtlinien - Eksctl-Benutzerhandbuch
Unterstützte IAM-Add-On-RichtlinienEine benutzerdefinierte Instanzrolle hinzufügenInline-Richtlinien anhängenRichtlinien per ARN anhängen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM-Richtlinien

Sie können Instance-Rollen an Knotengruppen anhängen. Workloads, die auf dem Knoten ausgeführt werden, erhalten IAM-Berechtigungen vom Knoten. Weitere Informationen finden Sie unter IAM-Rollen für Amazon EC2.

Auf dieser Seite sind die vordefinierten IAM-Richtlinienvorlagen aufgeführt, die in eksctl verfügbar sind. Diese Vorlagen vereinfachen den Prozess, Ihren EKS-Knoten die entsprechenden AWS-Serviceberechtigungen zu erteilen, ohne manuell benutzerdefinierte IAM-Richtlinien erstellen zu müssen.

Unterstützte IAM-Add-On-Richtlinien

Beispiel für alle unterstützten Add-On-Richtlinien:

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Image Builder Builder-Richtlinie

Die imageBuilder Richtlinie ermöglicht den vollständigen Zugriff auf ECR (Elastic Container Registry). Dies ist nützlich, um beispielsweise einen CI-Server zu erstellen, der Bilder an ECR übertragen muss.

EBS-Richtlinie

Die ebs Richtlinie aktiviert den neuen EBS-CSI-Treiber (Elastic Block Store Container Storage Interface).

Cert Manager-Richtlinie

Die certManager Richtlinie ermöglicht das Hinzufügen von Datensätzen zu Route 53, um die DNS01-Herausforderung zu lösen. Weitere Informationen finden Sie hier.

Eine benutzerdefinierte Instanzrolle hinzufügen

In diesem Beispiel wird eine Knotengruppe erstellt, die eine bestehende IAM-Instanzrolle aus einem anderen Cluster wiederverwendet:

apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

Inline-Richtlinien anhängen

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

Richtlinien per ARN anhängen

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
Warnung

Wenn eine Knotengruppe die enthält, muss attachPolicyARNs sie auch die Standard-Knotenrichtlinien enthalten, wieAmazonEKSWorkerNodePolicy, AmazonEKS_CNI_Policy und AmazonEC2ContainerRegistryReadOnly in diesem Beispiel.