Ayude a mejorar esta página
¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.
Rol de IAM conector de Amazon EKS
Puede conectar clústeres de Kubernetes para verlos en la AWS Management Console. Para conectarse a un clúster de Kubernetes, cree un rol de IAM.
Verificar si hay un rol de EKS Conector existente
Puede utilizar el siguiente procedimiento para verificar y ver si la cuenta ya dispone del rol conector de Amazon EKS.
Para verificar el AmazonEKSConnectorAgentRole en la consola de IAM
Abra la consola de IAM en https://console.aws.amazon.com/iam/.
-
En el panel de navegación izquierdo, seleccione Roles.
-
En la lista de roles, busque AmazonEKSConnectorAgentRole. Si no existe un rol que incluya AmazonEKSConnectorAgentRole, consulte Creación del rol de agente conector de Amazon EKS para crearlo. Si existe un rol que incluye AmazonEKSConnectorAgentRole, seleccione el rol para ver las políticas asociadas.
-
Elija Permissions.
-
Asegúrese de que la política administrada AmazonEKSConnectorAgentPolicy se haya adjuntado al rol. Si la política se ha adjuntado, entonces el rol de Amazon EKS Connector se ha configurado correctamente.
-
Elija Relaciones de confianza y, a continuación, Editar política de confianza.
-
Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política a continuación, seleccione Cancelar. Si la relación de confianza no coincide, copie la política en la ventana Editar política de confianza y elija Actualizar política.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
Creación del rol de agente conector de Amazon EKS
Puede utilizar la AWS Management Console o AWS CloudFormation para crear un rol de agente conector.
- AWS CLI
-
-
Cree un archivo con el nombre eks-connector-agent-trust-policy.json, que contenga el siguiente JSON que se va a utilizar para el rol de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
-
Cree un archivo con el nombre eks-connector-agent-policy.json que contenga el siguiente JSON que se va a utilizar para el rol de IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SsmControlChannel",
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel"
],
"Resource": "arn:aws:eks:*:*:cluster/*"
},
{
"Sid": "ssmDataplaneOperations",
"Effect": "Allow",
"Action": [
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenDataChannel",
"ssmmessages:OpenControlChannel"
],
"Resource": "*"
}
]
}
-
Cree el rol de agente de Amazon EKS Connector con la política de confianza y la política que creó en la lista de elementos anterior.
aws iam create-role \
--role-name AmazonEKSConnectorAgentRole \
--assume-role-policy-document file://eks-connector-agent-trust-policy.json
-
Adjunte la política a su rol de agente de Amazon EKS Connector.
aws iam put-role-policy \
--role-name AmazonEKSConnectorAgentRole \
--policy-name AmazonEKSConnectorAgentPolicy \
--policy-document file://eks-connector-agent-policy.json
- AWS CloudFormation
-
Para crear el rol de agente conector de Amazon EKS con AWS CloudFormation.
-
Guarde la siguiente plantilla de AWS CloudFormation en un archivo de texto en su sistema local.
---
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Provisions necessary resources needed to register clusters in EKS'
Parameters: {}
Resources:
EKSConnectorSLR:
Type: AWS::IAM::ServiceLinkedRole
Properties:
AWSServiceName: eks-connector.amazonaws.com
EKSConnectorAgentRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action: [ 'sts:AssumeRole' ]
Principal:
Service: 'ssm.amazonaws.com'
EKSConnectorAgentPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: EKSConnectorAgentPolicy
Roles:
- {Ref: 'EKSConnectorAgentRole'}
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: 'Allow'
Action: [ 'ssmmessages:CreateControlChannel' ]
Resource:
- Fn::Sub: 'arn:${AWS::Partition}:eks:*:*:cluster/*'
- Effect: 'Allow'
Action: [ 'ssmmessages:CreateDataChannel', 'ssmmessages:OpenDataChannel', 'ssmmessages:OpenControlChannel' ]
Resource: "*"
Outputs:
EKSConnectorAgentRoleArn:
Description: The agent role that EKS connector uses to communicate with Servicios de AWS.
Value: !GetAtt EKSConnectorAgentRole.Arn
Abra la consola de AWS CloudFormation en https://console.aws.amazon.com/cloudformation.
-
Elija Create stack (Crear pila) (ya sea con recursos nuevos o existentes).
-
Para Specify template (Especificar plantilla), seleccione Upload a template file (Actualizar un archivo de plantilla) y, a continuación, elija Choose file (Elegir archivo).
-
Elija el archivo que creó anteriormente y, a continuación, elija Next (Siguiente).
-
En Stack name (Nombre de pila), escriba un nombre para el rol, por ejemplo eksConnectorAgentRole y, a continuación, elija Next (Siguiente).
-
En la página Configurar opciones de pila, elija Siguiente.
-
En la página Review (Revisar), revise la información, confirme que la pila puede crear recursos de IAM y elija Create stack (Crear pila).
