Amazon-EKS-Cluster-IAM-Rolle - Amazon EKS

Amazon-EKS-Cluster-IAM-Rolle

Von Amazon EKS verwaltete Kubernetes-Cluster senden in Ihrem Namen Aufrufe an andere AWS-Services, um die von Ihnen mit dem Service verwendeten Ressourcen zu verwalten. Bevor Sie Amazon-EKS-Cluster erstellen können, müssen Sie eine IAM-Rolle mit den folgenden IAM-Richtlinien erstellen:

Anmerkung

Vor dem 16. April 2020 war auch AmazonEKSServicePolicy erforderlich und der vorgeschlagene Name lautete eksServiceRole. Mit der serviceverknüpften AWSServiceRoleForAmazonEKS-Rolle ist diese Richtlinie für Cluster, die am oder nach dem 16. April 2020 erstellt wurden, nicht mehr erforderlich.

Überprüfen, ob eine Clusterrolle vorhanden ist

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Clusterrolle verfügt.

So prüfen Sie eksClusterRole in der IAM-Konsole

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationspanel Rollen aus.

  3. Suchen Sie in der Liste der Rollen nach eksClusterRole. Wenn keine Rolle mit eksClusterRole vorhanden ist, informieren Sie sich unter Erstellen der Amazon-EKS-Cluster-Rolle, wie Sie die Rolle erstellen können. Wenn eine Rolle mit eksClusterRole vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Stellen Sie sicher, dass die von AmazonEKSClusterPolicy verwaltete Richtlinie an die Rolle angefügt ist. Wenn die Richtlinie angefügt ist, ist Ihre Amazon-EKS-Clusterrolle korrekt konfiguriert.

  6. Klicken Sie auf der Registerkarte Trust Relationships (Vertrauensstellung) auf Edit Trust Relationship (Vertrauensstellung bearbeiten).

  7. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der unten angegebenen Richtlinie übereinstimmt, wählen Sie Cancel. Andernfalls kopieren Sie die Richtlinie in das Fenster Policy Document und wählen Update Trust Policy aus.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Erstellen der Amazon-EKS-Cluster-Rolle

Sie können das AWS Management Console oder AWS CloudFormation verwenden, um die Clusterrolle zu erstellen. Wählen Sie die Registerkarte mit dem Namen des Tools aus, das Sie zum Erstellen der Rolle verwenden möchten.

AWS Management Console

So erstellen Sie Ihre Amazon EKS-Clusterrolle in der IAM-Konsole

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Roles (Rollen) und anschließend Create Role (Rolle erstellen) aus.

  3. Wählen Sie EKS aus der Liste der Services, EKS - Cluster (EKS – Cluster) für Ihren Anwendungsfall und dann Next: Permissions (Weiter: Berechtigungen) aus.

  4. Wählen Sie Next: Tags (Weiter: Tags (Markierungen)) aus.

  5. (Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Taggen von IAM-Entitäten im IAM-Benutzerhandbuch.

  6. Klicken Sie auf Next: Review (Weiter: Prüfen).

  7. Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für Ihre Rolle ein, z. B. eksClusterRole, und wählen Sie dann Create role (Rolle erstellen).

AWS CloudFormation

[ So erstellen Sie Ihre Amazon-EKS-Clusterrolle mit AWS CloudFormation ]

  1. Speichern Sie die folgende AWS CloudFormation-Vorlage in einer Textdatei auf Ihrem lokalen System.

    --- AWSTemplateFormatVersion: '2010-09-09' Description: 'Amazon EKS Cluster Role' Resources: eksClusterRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: - eks.amazonaws.com Action: - sts:AssumeRole ManagedPolicyArns: - arn:aws:iam::aws:policy/AmazonEKSClusterPolicy Outputs: RoleArn: Description: The role that Amazon EKS will use to create AWS resources for Kubernetes clusters Value: !GetAtt eksClusterRole.Arn Export: Name: !Sub "${AWS::StackName}-RoleArn"
    Anmerkung

    Vor dem 16. April 2020 hatte ManagedPolicyArns einen Eintrag für arn:aws:iam::aws:policy/AmazonEKSServicePolicy. Für die serviceverknüpfte Rolle AWSServiceRoleForAmazonEKS ist diese Richtlinie nicht mehr erforderlich.

  2. Öffnen Sie die AWS CloudFormation-Konsole unter https://console.aws.amazon.com/cloudformation.

  3. Wählen Sie Create stack (Stack erstellen) aus.

  4. Wählen Sie für Specify template (Vorlage festlegen) Upload a template file (Vorlagendatei hochladen) aus und wählen Sie dann Choose file (Datei wählen).

  5. Wählen Sie die zuvor erstellte Datei und klicken Sie dann auf Next (Weiter).

  6. Geben Sie für Stack name (Stack-Name) einen Namen für Ihre Rolle ein, wie z. B. eksClusterRole. Klicken Sie dann auf Next (Weiter).

  7. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter).

  8. Überprüfen Sie auf der Seite Überprüfen Ihre Informationen, bestätigen Sie, dass der Stack IAM-Ressourcen erstellen kann, und wählen Sie dann Erstellen aus.