**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM-Rolle für Knoten im Amazon EKS Auto Mode
<a name="auto-create-node-role"></a>

**Anmerkung**  
Sie können nicht dieselbe Rolle verwenden, die zum Erstellen von Clustern verwendet wurde.

Bevor Sie Knoten erstellen, müssen Sie eine IAM-Rolle mit den folgenden Richtlinien oder entsprechenden Berechtigungen erstellen:
+  [AmazonEKSWorkerNodeMinimalPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) 
+  [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) 

## Nach einer vorhandenen Knotenrolle suchen
<a name="auto-create-node-role-check"></a>

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Knotenrolle verfügt.

1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

1. Wählen Sie im linken Navigationsbereich **Roles** aus.

1. Suchen Sie in der Liste der Rollen nach `AmazonEKSAutoNodeRole`. Wenn eine Rolle mit einem dieser Namen nicht vorhanden ist, lesen Sie die Anweisungen zum Erstellen der Rolle im nächsten Abschnitt. Wenn eine Rolle mit `AmazonEKSAutoNodeRole` vorhanden ist, wählen Sie die Rolle aus, um die angehängten Richtlinien anzuzeigen.

1. Wählen Sie **Berechtigungen**.

1. Stellen Sie sicher, dass die oben genannten erforderlichen Richtlinien oder entsprechende benutzerdefinierte Richtlinien angefügt sind.

1. Wählen Sie **Vertrauensstellungen** und dann **Vertrauensrichtlinie bearbeiten** aus.

1. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie **Abbrechen** aus. Andernfalls kopieren Sie die Richtlinie in das Fenster **Vertrauensrichtlinie bearbeiten** und wählen Sie **Richtlinie aktualisieren** aus.

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "ec2.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

## Erstellen der Amazon-EKS-Knoten-IAM-Rolle
<a name="auto-create-node-role-iam"></a>

Sie können die Node-IAM-Rolle mit der AWS-Managementkonsole oder der AWS CLI erstellen.

### AWS-Managementkonsole
<a name="auto-create-node-role-console"></a>

1. Öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

1. Wählen Sie im linken Navigationsbereich **Roles** aus.

1. Klicken Sie auf der Seite **Roles (Rollen)** auf **Create role (Rolle erstellen)**.

1. Gehen Sie auf der Seite **Select trusted entity** (Vertrauenswürdige Entität auswählen) wie folgt vor:

   1. Wählen Sie im Abschnitt **Vertrauenswürdiger Entitätstyp** die Option ** AWS Service** aus.

   1. Wählen Sie unter **Use case** (Anwendungsfall) die Option **EC2** aus.

   1. Wählen Sie **Weiter** aus.

1. Fügen Sie auf der Seite **Berechtigungen hinzufügen** die folgenden Richtlinien hinzu:
   +  [AmazonEKSWorkerNodeMinimalPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) 
   +  [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) 

1. Gehen Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) wie folgt vor:

   1. Geben Sie unter **Role name** (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. `AmazonEKSAutoNodeRole`.

   1. Ersetzen Sie unter **Description** (Beschreibung) den aktuellen Text durch beschreibenden Text wie beispielsweise `Amazon EKS - Node role`.

   1. Fügen Sie der Rolle unter **Tags hinzufügen (optional)** Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.

   1. Wählen Sie **Rolle erstellen** aus.

### AWS CLI
<a name="auto-create-node-role-cli"></a>

 **Knoten-IAM-Rolle erstellen** 

Verwenden Sie die **node-trust-policyJSON-Datei** aus dem vorherigen Schritt, um zu definieren, welche Entitäten die Rolle übernehmen können. Führen Sie den folgenden Befehl aus, um die Knoten-IAM-Rolle zu erstellen:

```
aws iam create-role \
    --role-name AmazonEKSAutoNodeRole \
    --assume-role-policy-document file://node-trust-policy.json
```

 **Rollen-ARN beachten** 

Rufen Sie nach dem Erstellen der Rolle die ARN der Knoten-IAM-Rolle ab und speichern Sie sie. Sie benötigen diese ARN in den nachfolgenden Schritten. Um die ARN abzurufen, verwenden Sie den folgenden Befehl.

```
aws iam get-role --role-name AmazonEKSAutoNodeRole --query "Role.Arn" --output text
```

 **Erforderliche Richtlinien anfügen** 

Fügen Sie der Node-IAM-Rolle die folgenden AWS verwalteten Richtlinien hinzu, um die erforderlichen Berechtigungen bereitzustellen:

So hängen Sie Amazon an EKSWorkerNodeMinimalPolicy:

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSWorkerNodeMinimalPolicy
```

So hängen Sie Amazon an EC2ContainerRegistryPullOnly:

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```

 **Optionale Richtlinie anhängen** 

Wenn Sie Container-Images aus Public ECR abrufen, sollten Sie die folgende AWS verwaltete Richtlinie an die Node-IAM-Rolle anhängen, um sicherzustellen, dass sich Ihre Knoten bei Public ECR authentifizieren und Images ohne Drosselung abrufen können.

Zum Anhängen: AmazonElasticContainerRegistryPublicReadOnly

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonElasticContainerRegistryPublicReadOnly
```