Helfen Sie mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon-EKS-Knoten-IAM-Rolle
Der Amazon EKS Node kubelet
Daemon ruft in Ihrem Namen AWS APIs auf. Knoten erhalten über ein IAM-Instance-Profil und zugehörige Richtlinien Berechtigungen für diese API-Aufrufe. Bevor Sie Knoten starten und in einem Cluster registrieren können, müssen Sie eine IAM-Rolle erstellen, die diese Knoten beim Start verwenden können. Diese Anforderung gilt für Knoten, die mit dem für Amazon EKS optimierten AMI von Amazon oder mit anderen Knoten-AMIs gestartet werden, die Sie verwenden möchten. Darüber hinaus gilt diese Anforderung sowohl für verwaltete Knotengruppen als auch für selbstverwaltete Knoten.
Anmerkung
Sie können nicht dieselbe Rolle verwenden, die zum Erstellen von Clustern verwendet wurde.
Bevor Sie Knoten erstellen, müssen Sie eine IAM-Rolle mit folgenden Berechtigungen erstellen:
-
Berechtigungen für das
kubelet
zum Beschreiben von Amazon-EC2-Ressourcen in der VPC, wie etwa durch dieAmazonEKSWorkerNodePolicy
-Richtlinie bereitgestellt. Diese Richtlinie stellt auch die Berechtigungen für den Amazon EKS Pod Identity Agent bereit. -
Berechtigungen für das
kubelet
zum Verwenden von Container-Images aus Amazon Elastic Container Registry (Amazon ECR), wie etwa durch die RichtlinieAmazonEC2ContainerRegistryReadOnly
bereitgestellt. Die Berechtigungen zur Verwendung von Container-Images aus Amazon Elastic Container Registry (Amazon ECR) sind erforderlich, da die integrierten Add-Ons für Netzwerke Pods ausführen, die Container-Images von Amazon ECR verwenden. -
(Optional) Berechtigungen für den Amazon EKS Pod Identity Agent zum Verwenden der Aktion
eks-auth:AssumeRoleForPodIdentity
, um Anmeldeinformationen für Pods abzurufen. Wenn Sie AmazonEKS nicht verwendenWorkerNodePolicy, müssen Sie diese Berechtigung zusätzlich zu den EC2-Berechtigungen für die Verwendung von EKS Pod Identity bereitstellen. -
(Optional) Wenn Sie IRSA oder EKS Pod Identity nicht verwenden, um Berechtigungen für die VPC-CNI-Pods zu erteilen, müssen Sie Berechtigungen für das VPC CNI in der Instance-Rolle bereitstellen. Sie können entweder die von
AmazonEKS_CNI_Policy
verwaltete Richtlinie verwenden (wenn Sie Ihren Cluster mit derIPv4
-Produktfamilie erstellt haben) oder aber eine von Ihnen erstellte IPv6-Richtlinie (wenn Sie Ihren Cluster mit derIPv6
-Produktfamilie erstellt haben). Anstatt die Richtlinie jedoch an diese Rolle anzuhängen, empfehlen wir Ihnen, die Richtlinie an eine separate Rolle anzuhängen, die speziell für das Amazon VPC CNI-Add-on verwendet wird. Weitere Informationen zum Erstellen einer separaten Rolle für das Amazon VPC CNI-Add-on finden Sie unter Konfigurieren der Amazon VPC CNI plugin for Kubernetes zur Verwendung von IAM-Rollen für Servicekonten (IRSA).
Anmerkung
Vor dem 3. Oktober 2023 waren AmazonEKSWorkerNodePolicy
und AmazonEC2ContainerRegistryReadOnly
in der IAM-Rolle für jede verwaltete Knotengruppe erforderlich.
Die Amazon-EC2-Knotengruppen müssen eine andere IAM-Rolle haben als das Fargate-Profil. Weitere Informationen finden Sie unter IAM-Rolle zur Ausführung von Amazon-EKS-Pod.
Nach einer vorhandenen Knotenrolle suchen
Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Knotenrolle verfügt.
So prüfen Sie eksNodeRole
in der IAM-Konsole
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im linken Navigationsbereich Roles aus.
-
Suchen Sie in der Liste der Rollen nach
eksNodeRole
,AmazonEKSNodeRole
oderNodeInstanceRole
. Wenn eine Rolle mit einem dieser Namen nicht existiert, erfahren Sie unter Erstellen der Amazon-EKS-Knoten-IAM-Rolle, wie Sie die Rolle erstellen. Wenn eine Rolle miteksNodeRole
,AmazonEKSNodeRole
oderNodeInstanceRole
vorhanden ist, wählen Sie die Rolle aus, um die angehängten Richtlinien anzuzeigen. -
Wählen Sie Permissions (Berechtigungen).
-
Stellen Sie sicher, dass die von AmazonEKS WorkerNodePolicy und AmazonEC2 ContainerRegistryReadOnly verwalteten Richtlinien an die Rolle angehängt sind oder dass eine benutzerdefinierte Richtlinie mit den Mindestberechtigungen angehängt ist.
Anmerkung
Wenn die AmazonEKS_CNI_Policy-Richtlinie an die Rolle angehängt ist, empfehlen wir, sie zu entfernen und einer IAM-Rolle anzuhängen, die stattdessen dem
aws-node
-Kubernetes-Servicekonto zugeordnet ist. Weitere Informationen finden Sie unter Konfigurieren der Amazon VPC CNI plugin for Kubernetes zur Verwendung von IAM-Rollen für Servicekonten (IRSA). -
Wählen Sie Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.
-
Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Cancel (Abbrechen) aus. Andernfalls kopieren Sie die Richtlinie in das Fenster Edit trust policy (Vertrauensrichtlinie bearbeiten) und wählen Sie Update policy (Richtlinie aktualisieren) aus.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Erstellen der Amazon-EKS-Knoten-IAM-Rolle
Sie können die Node-IAM-Rolle mit dem oder dem erstellen. AWS Management Console AWS CLI