Überprüfen, ob eine Clusterrolle vorhanden ist Erstellen der Amazon-EKS-Cluster-Rolle

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Amazon-EKS-Cluster-IAM-Rolle

Für jeden Cluster ist eine Amazon EKS-Cluster-IAM-Rolle erforderlich. Von Amazon EKS verwaltete Kubernetes-Cluster verwenden diese Rolle zur Verwaltung von Knoten, und der ältere Cloud-Anbieter verwendet diese Rolle, um Load Balancer mit Elastic Load Balancing für Services zu erstellen.

Bevor Sie Amazon-EKS-Cluster erstellen können, müssen Sie eine IAM-Rolle mit einer der folgenden IAM-Richtlinien erstellen:

EKSClusterAmazon-Richtlinie

Eine benutzerdefinierten IAM-Richtlinie. Die folgenden Mindestberechtigungen ermöglichen es dem Kubernetes-Cluster, Knoten zu verwalten, dem alten Cloud-Anbieter jedoch nicht, Load Balancer mit Elastic Load Balancing zu erstellen. Ihre benutzerdefinierte IAM-Richtlinie muss mindestens folgende Berechtigungen haben:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws: ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstanceTopology",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Anmerkung

Vor dem 3. Oktober 2023 war eine EKSClusterAmazon-Richtlinie für die IAM-Rolle für jeden Cluster erforderlich.

Vor dem 16. April 2020 waren EKSServiceAmazon-Richtlinien und EKSClusterAmazon-Richtlinien erforderlich, und der vorgeschlagene Name für die Rolle lauteteeksServiceRole. Mit der AWSServiceRoleForAmazonEKS serviceverknüpften Rolle ist die EKSServiceAmazon-Richtlinienrichtlinie für Cluster, die am oder nach dem 16. April 2020 erstellt wurden, nicht mehr erforderlich.

Überprüfen, ob eine Clusterrolle vorhanden ist

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Clusterrolle verfügt.

Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.
Wählen Sie im linken Navigationsbereich Roles aus.
Suchen Sie in der Liste der Rollen nach eksClusterRole. Wenn eine Rolle, die Folgendes beinhaltet, nicht eksClusterRole existiert, finden Sie weitere Informationen Erstellen der Amazon-EKS-Cluster-Rolle zum Erstellen der Rolle. Wenn eine Rolle mit eksClusterRole vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.
Wählen Sie Permissions (Berechtigungen).
Stellen Sie sicher, dass die von Amazon EKSCluster Policy verwaltete Richtlinie der Rolle zugeordnet ist. Wenn die Richtlinie angefügt ist, ist Ihre Amazon-EKS-Clusterrolle korrekt konfiguriert.
Wählen Sie Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.
Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Cancel (Abbrechen) aus. Wenn das Vertrauensverhältnis nicht übereinstimmt, kopieren Sie die Richtlinie in das Fenster Vertrauensrichtlinie bearbeiten und wählen Sie Richtlinie aktualisieren.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Erstellen der Amazon-EKS-Cluster-Rolle

Sie können die AWS Management Console oder die AWS CLI verwenden, um die Clusterrolle zu erstellen.

AWS Management Console

Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.
Wählen Sie Roles (Rollen) und anschließend Create Role (Rolle erstellen) aus.
Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS Dienst aus.
Wählen Sie aus der Dropdownliste Anwendungsfälle für andere AWS Dienste die Option EKS aus.
Wählen Sie EKS - Cluster (EKS – Cluster) für Ihren Anwendungsfall und dann Next (Weiter) aus.
Wählen Sie auf der Registerkarte Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.
Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. eksClusterRole.
Geben Sie unter Description (Beschreibung) einen beschreibenden Text wie Amazon EKS - Cluster role ein.
Wählen Sie Create role (Rolle erstellen) aus.

AWS CLI

Kopieren Sie den folgenden Inhalt in eine Datei namens cluster-trust-policy.json.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Erstellen Sie die -Rolle. Sie können eksClusterRole mit einem beliebigen Namen ersetzen, den Sie wählen.


aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

Fügen Sie der Rolle die erforderliche IAM-Richtlinie an.


aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Knoten-IAM-Rolle