EKSIAMAmazon-Cluster-Rolle - Amazon EKS
Überprüfen, ob eine Clusterrolle vorhanden istDie EKS Amazon-Cluster-Rolle erstellen

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

EKSIAMAmazon-Cluster-Rolle

Für jeden EKS Cluster ist eine IAM Amazon-Cluster-Rolle erforderlich. KubernetesVon Amazon verwaltete Cluster EKS verwenden diese Rolle zur Verwaltung von Knoten, und der ältere Cloud-Anbieter verwendet diese Rolle, um Load Balancer mit Elastic Load Balancing für Services zu erstellen.

Bevor Sie EKS Amazon-Cluster erstellen können, müssen Sie eine IAM Rolle mit einer der folgenden IAM Richtlinien erstellen:

  • AmazonEKSClusterPolicy

  • Eine benutzerdefinierte IAM Richtlinie. Die folgenden Mindestberechtigungen ermöglichen es dem Kubernetes-Cluster, Knoten zu verwalten, erlauben es dem alten Cloud-Anbieter jedoch nicht, Load Balancer mit Elastic Load Balancing zu erstellen. Ihre benutzerdefinierte IAM Richtlinie muss mindestens über die folgenden Berechtigungen verfügen:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
Anmerkung

Vor dem 3. Oktober 2023 war für jeden Cluster eine mazonEKSCluster Richtlinie für die IAM Rolle erforderlich.

Vor dem 16. April 2020 waren eine mazonEKSService Richtlinie und eine mazonEKSCluster Richtlinie erforderlich, und der vorgeschlagene Name für die Rolle lauteteeksServiceRole. Bei der AWSServiceRoleForAmazonEKS serviceverknüpften Rolle ist die mazonEKSServiceA-Policy-Richtlinie für Cluster, die am oder nach dem 16. April 2020 erstellt wurden, nicht mehr erforderlich.

Überprüfen, ob eine Clusterrolle vorhanden ist

Mithilfe des folgenden Verfahrens können Sie überprüfen, ob Ihr Konto bereits über die EKS Amazon-Cluster-Rolle verfügt.

Um in der IAM Konsole nach eksClusterRole dem zu suchen

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Suchen Sie in der Liste der Rollen nach eksClusterRole. Wenn keine Rolle mit eksClusterRole vorhanden ist, informieren Sie sich unter Die EKS Amazon-Cluster-Rolle erstellen, wie Sie die Rolle erstellen können. Wenn eine Rolle mit eksClusterRole vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Stellen Sie sicher, dass die von A mazonEKSCluster Policy verwaltete Richtlinie der Rolle zugeordnet ist. Wenn die Richtlinie angehängt ist, ist Ihre EKS Amazon-Cluster-Rolle ordnungsgemäß konfiguriert.

  6. Wählen Sie Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.

  7. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Cancel (Abbrechen) aus. Andernfalls kopieren Sie die Richtlinie in das Fenster Edit trust policy (Vertrauensrichtlinie bearbeiten) und wählen Sie Update policy (Richtlinie aktualisieren) aus. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die EKS Amazon-Cluster-Rolle erstellen

Sie können das AWS Management Console oder das verwenden AWS CLI , um die Cluster-Rolle zu erstellen.

AWS Management Console
So erstellen Sie Ihre EKS Amazon-Cluster-Rolle in der IAM Konsole

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Roles (Rollen) und anschließend Create Role (Rolle erstellen) aus.

  3. Wählen Sie unter Trusted entity type (Typ der vertrauenswürdigen Entität) die Option AWS -Service aus.

  4. Wählen Sie aus der AWS-Services Dropdownliste Anwendungsfälle für andere die Option EKS.

  5. Wählen Sie EKS- Cluster für Ihren Anwendungsfall und wählen Sie dann Weiter.

  6. Wählen Sie auf der Registerkarte Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.

  7. Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. eksClusterRole.

  8. Geben Sie unter Description (Beschreibung) einen beschreibenden Text wie Amazon EKS - Cluster role ein.

  9. Wählen Sie Create role (Rolle erstellen) aus.

AWS CLI

  1. Kopieren Sie den folgenden Inhalt in eine Datei namens cluster-trust-policy.json. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Erstellen Sie die -Rolle. Sie können eksClusterRole mit einem beliebigen Namen ersetzen, den Sie wählen.

    aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

  3. Hängen Sie die erforderliche IAM Richtlinie an die Rolle an.

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole