Ayude a mejorar esta página
¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.
Rol de IAM de nodo de Amazon EKS
El daemon de kubelet
del nodo de Amazon EKS realiza llamadas a las API de AWS en su nombre. Los nodos reciben permisos de dichas llamadas de API a través de políticas asociadas y de un perfil de instancias de IAM. Antes de poder lanzar nodos y registrarlos en un clúster, debe crear un rol de IAM para dichos nodos, para utilizarlo cuando se lancen. Este requisito se aplica a nodos lanzados con la AMI optimizada para Amazon EKS proporcionada por Amazon o con cualquier otra AMI de nodo que pretenda utilizar. Además, este requisito se aplica tanto a los grupos de nodos administrados como a los administrados por el usuario.
nota
No se puede usar el mismo rol que se usa para crear clústeres.
Antes de crear un nodo, debe crear un rol de IAM con los siguientes permisos:
-
Permisos para que el
kubelet
pueda describir los recursos de Amazon EC2 en la VPC, tal y como los proporciona la políticaAmazonEKSWorkerNodePolicy
. Esta política también proporciona los permisos para el agente de Pod Identity de Amazon EKS. -
Permisos para que el
kubelet
pueda utilizar imágenes de contenedor de Amazon Elastic Container Registry (Amazon ECR), según lo dispuesto en la políticaAmazonEC2ContainerRegistryReadOnly
. Los permisos para utilizar imágenes de contenedor de Amazon Elastic Container Registry (Amazon ECR) son necesarios porque los complementos integrados para redes ejecutan pods que utilizan imágenes de contenedor de Amazon ECR. -
(Opcional) Permisos para que el agente de Pod Identity de Amazon EKS utilice la acción
eks-auth:AssumeRoleForPodIdentity
para recuperar las credenciales de los pods. Si no usa AmazonEKSWorkerNodePolicy, debe proporcionar este permiso además de los permisos de EC2 para utilizar Pod Identity de EKS. -
(Opcional) Si no utiliza Pod Identity de EKS e IRSA para otorgar permisos a los pods de CNI de VPC, debe proporcionar permisos para la CNI de la VPC en el rol de instancia. Puede utilizar la política administrada
AmazonEKS_CNI_Policy
(si creó el clúster con la familiaIPv4
) o una política de IPv6 que usted cree (si creó el clúster con la familiaIPv6
). Sin embargo, en lugar de adjuntar la política a este rol, le recomendamos adjuntar la política a un rol independiente utilizado específicamente para el complemento Amazon VPC CNI. Para obtener más información acerca de cómo crear un rol independiente para el complemento Amazon VPC CNI, consulte Configuración del complemento de CNI de Amazon VPC para utilizar IRSA.
nota
Antes del 3 de octubre de 2023, se requerían AmazonEKSWorkerNodePolicy
y AmazonEC2ContainerRegistryReadOnly
en el rol de IAM de cada grupo de nodos administrados.
Los grupos de nodos de Amazon EC2 deben tener un rol de IAM diferente al perfil de Fargate. Para obtener más información, consulte Rol de IAM de ejecución de Pod de Amazon EKS.
Verificar un rol de nodo existente
Puede utilizar el siguiente procedimiento para verificar y conocer si la cuenta ya dispone del rol de nodo de Amazon EKS.
Para verificar el eksNodeRole
en la consola de IAM
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación izquierdo, seleccione Roles.
-
En la lista de roles, busque
eksNodeRole
,AmazonEKSNodeRole
oNodeInstanceRole
. Si no existe un rol con alguno de esos nombres, consulte Crear el rol de IAM de nodo de Amazon EKS para crear el rol. Si existe un rol que contieneeksNodeRole
,AmazonEKSNodeRole
oNodeInstanceRole
, seleccione el rol para ver las políticas adjuntas. -
Elija Permisos.
-
Asegúrese de que las políticas administradas AmazonEKSWorkerNodePolicy and AmazonEC2ContainerRegistryReadOnly estén asociadas al rol, o que haya una política personalizada asociada con los permisos mínimos.
nota
Si la política AmazonEKS_CNI_Policy se encuentra adjunta al rol, se recomienda eliminarla y adjuntarla a un rol de IAM asignado a la cuenta de servicio de
aws-node
de Kubernetes en su lugar. Para obtener más información, consulte Configuración del complemento de CNI de Amazon VPC para utilizar IRSA. -
Elija Relaciones de confianza y, a continuación, Editar política de confianza.
-
Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política a continuación, seleccione Cancelar. Si la relación de confianza no coincide, copie la política en la ventana Editar política de confianza y elija Actualizar política.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Crear el rol de IAM de nodo de Amazon EKS
Puede crear el rol de IAM del nodo con la AWS Management Console o la AWS CLI.