Amazon-EKS-Knoten-IAM-Rolle - Amazon EKS
Nach einer vorhandenen Knotenrolle suchenErstellen der Amazon-EKS-Knoten-IAM-Rolle

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-EKS-Knoten-IAM-Rolle

Der Amazon EKS Node kubelet Daemon ruft in Ihrem Namen AWS APIs an. Knoten erhalten über ein IAM-Instance-Profil und zugehörige Richtlinien Berechtigungen für diese API-Aufrufe. Bevor Sie Knoten starten und in einem Cluster registrieren können, müssen Sie eine IAM-Rolle erstellen, die diese Knoten beim Start verwenden können. Diese Anforderung gilt für Knoten, die mit dem von Amazon bereitgestellten Amazon EKS-optimierten AMI oder mit einem anderen Knoten AMIs , den Sie verwenden möchten, gestartet wurden. Darüber hinaus gilt diese Anforderung sowohl für verwaltete Knotengruppen als auch für selbstverwaltete Knoten.

Anmerkung

Sie können nicht dieselbe Rolle verwenden, die zum Erstellen von Clustern verwendet wird.

Bevor Sie Knoten erstellen, müssen Sie eine IAM-Rolle mit folgenden Berechtigungen erstellen:

  • Berechtigungen für kubelet die Beschreibung von EC2 Amazon-Ressourcen in der VPC, wie sie in der EKSWorkerNodePolicyAmazon-Richtlinie vorgesehen sind. Diese Richtlinie stellt auch die Berechtigungen für den Amazon EKS Pod Identity Agent bereit.

  • Berechtigungen für die kubelet Verwendung von Container-Images aus Amazon Elastic Container Registry (Amazon ECR), wie sie beispielsweise in der EC2ContainerRegistryPullOnlyAmazon-Richtlinie vorgesehen sind. Die Berechtigungen zur Verwendung von Container-Images aus Amazon Elastic Container Registry (Amazon ECR) sind erforderlich, da die integrierten Add-Ons für Netzwerke Pods ausführen, die Container-Images von Amazon ECR verwenden.

  • (Optional) Berechtigungen für den Amazon EKS Pod Identity Agent zum Verwenden der Aktion eks-auth:AssumeRoleForPodIdentity, um Anmeldeinformationen für Pods abzurufen. Wenn Sie Amazon nicht verwenden EKSWorkerNodePolicy, müssen Sie diese Genehmigung zusätzlich zu den EC2 Berechtigungen zur Verwendung von EKS Pod Identity erteilen.

  • (Optional) Wenn Sie IRSA oder EKS Pod Identity nicht verwenden, um den VPC-CNI-Pods Berechtigungen zu erteilen, müssen Sie Berechtigungen für das VPC-CNI in der Instance-Rolle bereitstellen. Sie können entweder die AmazonEKS_CNI_Policyverwaltete Richtlinie (wenn Sie Ihren Cluster mit der IPv4 Familie erstellt haben) oder eine von Ihnen erstellte IPv6 Richtlinie (wenn Sie Ihren Cluster mit der Familie erstellt haben) verwenden. IPv6 Anstatt die Richtlinie jedoch an diese Rolle anzuhängen, empfehlen wir Ihnen, die Richtlinie an eine separate Rolle anzuhängen, die speziell für das Amazon VPC CNI-Add-on verwendet wird. Weitere Informationen zum Erstellen einer separaten Rolle für das Amazon VPC CNI-Add-on finden Sie unter Amazon VPC CNI-Plugin für die Verwendung von IRSA konfigurieren.

Anmerkung

Die EC2 Amazon-Knotengruppen müssen eine andere IAM-Rolle als das Fargate-Profil haben. Weitere Informationen finden Sie unter IAM-Rolle für die Ausführung von Amazon EKS Pod.

Nach einer vorhandenen Knotenrolle suchen

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Knotenrolle verfügt.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Suchen Sie in der Liste der Rollen nach eksNodeRole, AmazonEKSNodeRole oder NodeInstanceRole. Wenn eine Rolle mit einem dieser Namen nicht existiert, finden Sie weitere Informationen Erstellen der Amazon-EKS-Knoten-IAM-Rolle zum Erstellen der Rolle. Wenn eine Rolle mit eksNodeRole, AmazonEKSNodeRole oder NodeInstanceRole vorhanden ist, wählen Sie die Rolle aus, um die angehängten Richtlinien anzuzeigen.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Stellen Sie sicher, dass die von Amazon EKSWorker NodePolicy und Amazon EC2 ContainerRegistryPullOnly verwalteten Richtlinien an die Rolle angehängt sind oder dass eine benutzerdefinierte Richtlinie mit den Mindestberechtigungen angehängt ist.

    Anmerkung

    Wenn die AmazonEKS_CNI_Policy-Richtlinie an die Rolle angehängt ist, empfehlen wir, sie zu entfernen und einer IAM-Rolle anzuhängen, die stattdessen dem aws-node-Kubernetes-Servicekonto zugeordnet ist. Weitere Informationen finden Sie unter Amazon VPC CNI-Plugin für die Verwendung von IRSA konfigurieren.

  6. Wählen Sie Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.

  7. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Cancel (Abbrechen) aus. Wenn das Vertrauensverhältnis nicht übereinstimmt, kopieren Sie die Richtlinie in das Fenster Vertrauensrichtlinie bearbeiten und wählen Sie Richtlinie aktualisieren aus.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "Service": [
                    "ec2.amazonaws.com"
                ]
            }
        }
    ]
}

Erstellen der Amazon-EKS-Knoten-IAM-Rolle

Sie können die Node-IAM-Rolle mit der AWS Management Console oder der AWS CLI erstellen.

AWS Management Console

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Klicken Sie auf der Seite Roles (Rollen) auf Create role (Rolle erstellen).

  4. Gehen Sie auf der Seite Select trusted entity (Vertrauenswürdige Entität auswählen) wie folgt vor:

    1. Wählen Sie im Abschnitt Vertrauenswürdiger Entitätstyp die Option AWS Service aus.

    2. Wählen Sie unter Use case (Anwendungsfall) EC2 aus.

    3. Wählen Sie Weiter.

  5. Führen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die folgenden Schritte aus:

    1. Geben Sie im Feld Filter policies (Filterrichtlinien) AmazonEKSWorkerNodePolicy ein.

    2. Aktivieren Sie EKSWorker NodePolicy in den Suchergebnissen das Kontrollkästchen links neben Amazon.

    3. Wählen Sie Clear filters (Filter löschen) aus.

    4. Geben Sie im Feld Filter policies (Filterrichtlinien) AmazonEC2ContainerRegistryPullOnly ein.

    5. Aktivieren Sie EC2 ContainerRegistryPullOnly in den Suchergebnissen das Kontrollkästchen links neben Amazon.

      Entweder die von Amazoneks_CNI_Policy verwaltete Richtlinie oder eine von Ihnen erstellte IPv6 Richtlinie muss ebenfalls entweder dieser Rolle oder einer anderen Rolle zugewiesen werden, die dem Kubernetes-Dienstkonto zugeordnet ist. aws-node Wir empfehlen, die Richtlinie der Rolle zuzuweisen, die dem Kubernetes-Dienstkonto zugeordnet ist, anstatt sie dieser Rolle zuzuweisen. Weitere Informationen finden Sie unter Amazon VPC CNI-Plugin für die Verwendung von IRSA konfigurieren.

    6. Wählen Sie Weiter.

  6. Gehen Sie auf der Seite Name, review, and create (Benennen, überprüfen und erstellen) wie folgt vor:

    1. Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. AmazonEKSNodeRole.

    2. Ersetzen Sie unter Description (Beschreibung) den aktuellen Text durch beschreibenden Text wie beispielsweise Amazon EKS - Node role.

    3. Fügen Sie der Rolle unter Tags hinzufügen (optional) Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Markieren von IAM-Ressourcen im IAM-Benutzerhandbuch.

    4. Wählen Sie Rolle erstellen.

AWS CLI

  1. Führen Sie den folgenden Befehl aus, um die Datei node-role-trust-relationship.json zu erstellen.

    cat >node-role-trust-relationship.json <<EOF
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole"
            ],
            "Principal": {
                "Service": [
                    "ec2.amazonaws.com"
                ]
            }
        }
    ]
}
EOF

  2. Erstellen Sie die IAM-Rolle.

    aws iam create-role \
  --role-name AmazonEKSNodeRole \
  --assume-role-policy-document file://"node-role-trust-relationship.json"

  3. Hängen Sie die beiden erforderlichen verwalteten IAM-Richtlinien an die IAM-Rolle an.

    aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSWorkerNodePolicy \
  --role-name AmazonEKSNodeRole
aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly \
  --role-name AmazonEKSNodeRole

  4. Hängen Sie eine der folgenden IAM-Richtlinien an die IAM-Rolle an, je nachdem, mit welcher IP-Familie Sie Ihren Cluster erstellt haben. Die Richtlinie muss dieser Rolle oder einer Rolle zugeordnet sein, die dem aws-node Kubernetes-Servicekonto zugeordnet ist, das für das Amazon VPC CNI-Plugin für Kubernetes verwendet wird. Wir empfehlen, die Richtlinie der Rolle zuzuweisen, die dem Kubernetes-Servicekonto zugeordnet ist. Um die Richtlinie der Rolle zuzuweisen, die dem Kubernetes-Servicekonto zugeordnet ist, siehe Amazon VPC CNI-Plugin für die Verwendung von IRSA konfigurieren.

    • IPv4

      aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy \
  --role-name AmazonEKSNodeRole

    • IPv6

      1. Kopieren Sie den folgenden Text und speichern Sie ihn in einer Datei mit dem Namen vpc-cni-ipv6-policy.json.

        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeInstances",
                "ec2:DescribeTags",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstanceTypes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws: ec2:*:*:network-interface/*"
            ]
        }
    ]
}

      2. Erstellen Sie die IAM-Richtlinie.

        aws iam create-policy --policy-name AmazonEKS_CNI_IPv6_Policy --policy-document file://vpc-cni-ipv6-policy.json

      3. Fügen Sie die IAM-Richtlinie an die IAM-Rolle an. Ersetzen Sie 111122223333 durch Ihre Konto-ID.

        aws iam attach-role-policy \
  --policy-arn arn:aws: iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \
  --role-name AmazonEKSNodeRole