Ayude a mejorar esta página
¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.
Rol de IAM de ejecución de Pod de Amazon EKS
Se requiere el rol de ejecución de Pod de Amazon EKS para ejecutar Pods en la infraestructura de AWS Fargate.
Cuando su clúster crea Pods en infraestructura de AWS Fargate, los componentes que se ejecutan en la infraestructura de Fargate deben hacer llamadas a las API de AWS en su nombre. Es así para que puedan realizar acciones, como extraer imágenes de contenedores de Amazon ECR o enrutar registros a otros servicios de AWS. El rol de ejecución de Pod de Amazon EKS proporciona los permisos de IAM para esta tarea.
Al crear un perfil de Fargate, debe especificar un rol de ejecución de Pod para los componentes de Amazon EKS que se ejecutan en la infraestructura de Fargate con el perfil. Este rol se agrega al control de acceso basado en roleskubelet
que se está ejecutando en la infraestructura de Fargate registrarse en el clúster de Amazon EKS para que pueda aparecer en el clúster como un nodo.
nota
El perfil de Fargate debe tener un rol de IAM diferente a los grupos de nodos de Amazon EC2.
importante
Los contenedores que se ejecutan en el Pod de Fargate no pueden asumir los permisos de IAM asociados a un rol de ejecución de Pod. Para brindar permisos a los contenedores de su Pod de Fargate para acceder a otros servicios de AWS, debe utilizar Roles de IAM para cuentas de servicio.
Antes de crear un perfil de Fargate, debe crear un rol de IAM con la AmazonEKSFargatePodExecutionRolePolicy
.
Compruebe si hay un rol de ejecución de Pod existente correctamente
Puede utilizar el siguiente procedimiento para verificar y ver si su cuenta ya dispone del rol de ejecución de Pod de Amazon EKS correctamente configurado. Para evitar un problema de seguridad adjunto confuso, es importante que la función restrinja el acceso basándose en SourceArn
. Puede modificar el rol de ejecución según sea necesario para incluir compatibilidad con perfiles Fargate en otros clústeres.
Para verificar si hay un rol de ejecución de Pod de Amazon EKS en la consola de IAM
Abra la consola de IAM en https://console.aws.amazon.com/iam/
. -
En el panel de navegación izquierdo, seleccione Roles.
-
En la página Roles, busque la lista de roles para AmazonEKSFargatePodExecutionRole. Si el rol no existe, consulte Crear el rol de ejecución de Pod de Amazon EKS para crear el rol. Si el rol existe, elija el rol.
-
En la página AmazonEKSFargatePodExecutionRole, haga lo siguiente:
-
Elija Permissions.
-
Asegúrese de que la política AmazonEKSFargatePodExecutionRolePolicy administrada por Amazon esté asociada al rol.
-
Seleccione Trust Relationships.
-
Elija Edit trust policy (Editar la política de confianza).
-
-
En la página Editar la política de confianza, verifique que la relación de confianza contiene la siguiente política y que tenga una línea para los perfiles de Fargate en su clúster. Si es así, elija Cancel (Cancelar).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Si la política coincide pero no tiene una línea que especifique los perfiles de Fargate en su clúster, puede agregar la siguiente línea en la parte superior del objeto
ArnLike
. Reemplace
por el Región de AWS en que está su clúster,region-code
por el ID de su cuenta y111122223333
por el nombre de su clúster.my-cluster
"aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*",Si la política no coincide, copie la política anterior completa en el formulario y elija Update policy (Política de actualización). Reemplace
por la Región de AWS en la que se encuentra el clúster. Si desea utilizar el mismo rol en todas las Regiones de AWS de su cuenta, reemplaceregion-code
region-code
por*
. Reemplace
por el nombre del clúster y111122223333
por el ID de la cuenta. Si quiere utilizar el mismo rol para todos los clústeres de su cuenta, reemplacemy-cluster
conmy-cluster
*
.
Crear el rol de ejecución de Pod de Amazon EKS
Si aún no tiene la función de ejecución de Pod de Amazon EKS para su clúster, puede utilizar la AWS Management Console o la AWS CLI para crearlo.