Pod-Ausführungsrolle - Amazon EKS

Pod-Ausführungsrolle

Die Amazon-EKS-Pod-Ausführungsrolle ist erforderlich, um Pods in der AWS-Fargate-Infrastruktur auszuführen.

Wenn Ihr Cluster Pods in der AWS-Fargate-Infrastruktur erstellt, müssen die in der Fargate-Infrastruktur ausgeführten Komponenten in Ihrem Namen Aufrufe an AWS-APIs senden, um beispielsweise Container-Images von Amazon ECR abzurufen oder Protokolle an andere AWS-Services weiterzuleiten. Die Amazon-EKS-Pod-Ausführungsrolle stellt die entsprechenden IAM-Berechtigungen bereit.

Wenn Sie ein Fargate-Profil erstellen, müssen Sie eine Pod-Ausführungsrolle für die Amazon-EKS-Komponenten angeben, die auf der Fargate-Infrastruktur mit dem Profil ausgeführt werden. Diese Rolle wird der Kubernetes Rollenbasierte Zugriffskontrolle (RBAC) des Clusters zur Autorisierung hinzugefügt, sodass das kubelet, das in der Fargate-Infrastruktur ausgeführt wird, beim Amazon-EKS-Cluster registriert werden kann. Dadurch kann die Fargate-Infrastruktur in Ihrem Cluster als Knoten angezeigt werden.

Die im Fargate-Pod ausgeführten Container können nicht die IAM-Berechtigungen annehmen, die der Pod-Ausführungsrolle zugeordnet sind. Um den Containern in Ihrem Fargate-Pod Berechtigungen für den Zugriff auf andere AWS-Dienste zu erteilen, müssen Sie IAM-Rollen für Servicekonten verwenden.

Bevor Sie ein Fargate-Profil erstellen, müssen Sie eine IAM-Rolle mit der folgenden IAM-Richtlinie erstellen:

Überprüfen, ob eine Pod-Ausführungsrolle vorhanden ist

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Pod-Ausführungsrolle verfügt.

So prüfen Sie AmazonEKSFargatePodExecutionRole in der IAM-Konsole

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationspanel Rollen aus.

  3. Suchen Sie in der Liste der Rollen nach AmazonEKSFargatePodExecutionRole. Wenn die Rolle nicht vorhanden ist, gehen Sie zu Erstellen der Amazon-EKS-Pod-Ausführungsrolle, um die Rolle zu erstellen. Wenn die Rolle vorhanden ist, wählen Sie die Rolle aus, um die zugeordneten Richtlinien zu sehen.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Stellen Sie sicher, dass die von Amazon verwaltete Richtlinie AmazonEKSFargatePodExecutionRolePolicy an die Rolle angehängt ist. Wenn die Richtlinie angefügt ist, ist Ihre Amazon-EKS-Pod-Ausführungsrolle korrekt konfiguriert.

  6. Klicken Sie auf der Registerkarte Trust Relationships (Vertrauensstellung) auf Edit Trust Relationship (Vertrauensstellung bearbeiten).

  7. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der unten angegebenen Richtlinie übereinstimmt, wählen Sie Cancel. Andernfalls kopieren Sie die Richtlinie in das Fenster Policy Document und wählen Update Trust Policy aus.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Erstellen der Amazon-EKS-Pod-Ausführungsrolle

Mit dem folgenden Verfahren können Sie die Amazon-EKS-Pod-Ausführungsrolle erstellen, sofern noch keine für Ihr Konto vorhanden ist.

So erstellen Sie eine AWS Fargate-Pod-Ausführungsrolle mit dem AWS Management Console

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Roles (Rollen) und anschließend Create Role (Rolle erstellen) aus.

  3. Wählen Sie EKS aus der Liste der Services, EKS - Fargate-Pod für Ihren Anwendungsfall und dann Weiter: Berechtigungen aus.

  4. Wählen Sie Next: Tags (Weiter: Tags (Markierungen)) aus.

  5. (Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Taggen von IAM-Entitäten im IAM-Benutzerhandbuch.

  6. Klicken Sie auf Next: Review (Weiter: Prüfen).

  7. Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für Ihre Rolle ein, z. B. AmazonEKSFargatePodExecutionRole, und wählen Sie dann Create role (Rolle erstellen).