Hilf mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAM-Rolle zur Ausführung von Amazon-EKS-Pod
Die Amazon Pod EKS-Ausführungsrolle ist für die Ausführung in Pods der AWS Fargate Infrastruktur erforderlich.
Wenn Ihr Cluster Pods auf einer AWS Fargate Infrastruktur erstellt wird, müssen die Komponenten, die auf der Fargate-Infrastruktur ausgeführt werden, in Ihrem Namen AWS API-Aufrufe tätigen. Auf diese Weise können sie Aktionen wie das Abrufen von Container-Images aus Amazon ECR oder das Weiterleiten von Protokollen an andere AWS Dienste ausführen. Die Amazon-EKS-Pod-Ausführungsrolle stellt die entsprechenden IAM-Berechtigungen bereit.
Wenn Sie ein Fargate-Profil erstellen, müssen Sie eine Pod-Ausführungsrolle für die Amazon-EKS-Komponenten angeben, die auf der Fargate-Infrastruktur mit dem Profil ausgeführt werden. Diese Rolle wird zur rollenbasierten Kubernetes-Zugriffssteuerungkubelet
, das in der Fargate-Infrastruktur ausgeführt wird, bei Ihrem Amazon-EKS-Cluster registrieren, sodass es als Knoten in Ihrem Cluster angezeigt werden kann.
Anmerkung
Das Fargate-Profil muss eine andere IAM-Rolle als Amazon-EC2-Knotengruppen haben.
Wichtig
Die im Fargate-Pod ausgeführten Container können nicht die IAM-Berechtigungen annehmen, die einer Pod-Ausführungsrolle zugeordnet sind. Um den Containern in Ihrem Fargate Pod Berechtigungen für den Zugriff auf andere AWS Dienste zu erteilen, müssen Sie verwendenIAM-Rollen für Servicekonten.
Bevor Sie ein Fargate-Profil erstellen, müssen Sie eine IAM-Rolle mit AmazonEKSFargatePodExecutionRolePolicy
erstellen.
Auf eine korrekt konfigurierte Pod-Ausführungsrolle prüfen
Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über eine korrekt konfigurierte Amazon-EKS-Pod-Ausführungsrolle verfügt. Um Confused-Deputy-Sicherheitsprobleme zu vermeiden, ist es wichtig, dass die Rolle den Zugriff basierend auf SourceArn
beschränkt. Sie können die Ausführungsrolle nach Bedarf ändern, um Fargate-Profile auch auf anderen Clustern zu unterstützen.
Nach einer Amazon-EKS-Pod-Ausführungsrolle in der IAM-Konsole suchen
Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/
. -
Wählen Sie im linken Navigationsbereich Roles aus.
-
Suchen Sie auf der Seite Rollen in der Rollenliste für AmazonEKS FargatePodExecutionRole. Wenn die Rolle nicht vorhanden ist, finden Sie unter Erstellen der Amazon-EKS-Pod-Ausführungsrolle Informationen zum Erstellen der Rolle. Wenn die Rolle vorhanden ist, wählen Sie sie aus.
-
Gehen Sie auf der FargatePodExecutionRoleAmazonEKS-Seite wie folgt vor:
-
Wählen Sie Permissions (Berechtigungen).
-
Stellen Sie sicher, dass die von FargatePodExecutionRolePolicyAmazonEKS verwaltete Amazon-Richtlinie mit der Rolle verknüpft ist.
-
Wählen Sie Trust Relationships (Vertrauensbeziehungen) aus.
-
Wählen Sie Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.
-
-
Prüfen Sie auf der Seite Edit trust policy (Vertrauensrichtlinie bearbeiten), dass die Vertrauensbeziehung die folgende Richtlinie und eine Zeile für Fargate-Profile in Ihrem Cluster enthält. Wenn ja, wählen Sie Cancel (Abbrechen) aus.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Wenn die Richtlinie übereinstimmt, aber keine Zeile mit den Fargate-Profilen in Ihrem Cluster enthält, können Sie die folgende Zeile oben im
ArnLike
-Objekt hinzufügen. Ersetzen Sie
durch die AWS-Region , in der sich Ihr Cluster befindet,region-code
durch die ID Ihres Kontos und111122223333
durch den Namen Ihres Clusters.my-cluster
"aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*",Wenn die Richtlinie nicht übereinstimmt, kopieren Sie die vollständige vorherige Richtlinie in das Formular und wählen Sie Update policy (Richtlinie aktualisieren) aus. Ersetzen Sie
durch die AWS-Region , in der sich Ihr Cluster befindet.region-code
*
Ersetzen Sie
durch Ihre Konto-ID und111122223333
durch den Namen Ihres Clusters. Wenn Sie dieselbe Rolle für alle Cluster in Ihrem Konto verwenden möchten, ersetzen Siemy-cluster
durchmy-cluster
*
.
Erstellen der Amazon-EKS-Pod-Ausführungsrolle
Wenn Sie noch nicht über die Amazon Pod EKS-Ausführungsrolle für Ihren Cluster verfügen, können Sie die AWS Management Console oder verwenden, AWS CLI um sie zu erstellen.