Políticas de IAM - Guía del usuario de Eksctl
Políticas complementarias de IAM compatiblesAñadir un rol de instancia personalizadoAdjuntar políticas en líneaAdjuntar políticas por ARN

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de IAM

Puede adjuntar roles de instancia a grupos de nodos. Las cargas de trabajo que se ejecuten en el nodo recibirán permisos de IAM del nodo. Para obtener más información, consulte Funciones de IAM para Amazon EC2.

En esta página se enumeran las plantillas de políticas de IAM predefinidas disponibles en eksctl. Estas plantillas simplifican el proceso de conceder a sus nodos de EKS los permisos de servicio de AWS adecuados sin tener que crear manualmente políticas de IAM personalizadas.

Políticas complementarias de IAM compatibles

Ejemplo de todas las políticas complementarias compatibles:

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Política de Image Builder

La imageBuilder política permite el acceso total al ECR (Elastic Container Registry). Esto resulta útil para crear, por ejemplo, un servidor de CI que necesite enviar imágenes al ECR.

Política de EBS

La ebs política habilita el nuevo controlador CSI (Elastic Block Store Container Storage Interface) de EBS.

Política de gestión de certificados

La certManager política permite agregar registros a Route 53 para resolver el desafío del DNS01. Puede encontrar más información aquí.

Añadir un rol de instancia personalizado

En este ejemplo, se crea un grupo de nodos que reutiliza un rol de instancia de IAM existente de otro clúster:

apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

Adjuntar políticas en línea

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

Adjuntar políticas por ARN

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
aviso

Si un grupo de nodos incluye elattachPolicyARNs, también debe incluir las políticas de nodo predeterminadasAmazonEKSWorkerNodePolicy, AmazonEKS_CNI_Policy como en este ejemplo. AmazonEC2ContainerRegistryReadOnly