Utilizar roles para grupos de nodos de Amazon EKS - Amazon EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Utilizar roles para grupos de nodos de Amazon EKS

Amazon EKS utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon EKS. Los roles vinculados a servicios se encuentran predefinidos por Amazon EKS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon EKS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EKS define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon EKS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon EKS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran Yes (Sí) en la columna Service-linked role (Rol vinculado a servicios). Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Amazon EKS

Amazon EKS utiliza el rol vinculado a servicios denominado AWSServiceRoleForAmazonEKSNodegroup: el rol permite a Amazon EKS administrar grupos de nodos en su cuenta. Las políticas adjuntas permiten que el rol administre los siguientes recursos: grupos de Auto Scaling, grupos de seguridad, plantillas de lanzamiento y perfiles de instancias de IAM.

El rol vinculado al servicio AWSServiceRoleForAmazonEKSNodegroup depende de los siguientes servicios para asumir el rol:

  • eks-nodegroup.amazonaws.com

La política de permisos del rol permite que Amazon EKS realice las siguientes acciones en los recursos especificados:

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Crear un rol vinculado a servicios para Amazon EKS

No necesita crear manualmente un rol vinculado a servicios. Cuando ejecuta CreateNodegroup en la AWS Management Console, la AWS CLI, o la API de AWS, Amazon EKS crea el rol vinculado a servicios en su nombre.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Si utilizaba el servicio de Amazon EKS antes del 1 de enero de 2017, fecha en que comenzó a admitir los roles vinculados a servicios, Amazon EKS creó el rol AWSServiceRoleForAmazonEKSNodegroup en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Crear un rol vinculado a servicios en Amazon EKS (API de AWS)

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un grupo de nodos administrados en la AWS Management Console, la AWS CLI o la API de AWS, Amazon EKS crea el rol vinculado a servicios en su nombre.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea otro grupo de nodos administrado, Amazon EKS vuelve a crear el rol vinculado a servicios.

Editar un rol vinculado a servicios para Amazon EKS

Amazon EKS no permite editar el rol vinculado a servicios de AWSServiceRoleForAmazonEKSNodegroup. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editing a service-linked role (Editar un rol vinculado a servicios) en la Guía del usuario de IAM.

Eliminar un rol vinculado a servicios para Amazon EKS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado a servicios antes de eliminarlo manualmente.

Limpiar un rol vinculado a servicios

Antes de que pueda utilizar IAM para eliminar un rol vinculado a servicios, primero debe eliminar los recursos que utiliza el rol.

nota

Si el servicio de Amazon EKS utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Amazon EKS que utiliza el rol de AWSServiceRoleForAmazonEKSNodegroup.
  1. Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.

  2. En el panel de navegación izquierdo, elija Clusters (Clústeres).

  3. Seleccione la pestaña Compute (Informática).

  4. En la sección de Node Groups (Grupos de nodos), elija el grupo de nodos que desea eliminar.

  5. Escriba el nombre del grupo de nodos en la ventana de confirmación de eliminación y, a continuación, elija Delete (Eliminar).

  6. Repita este procedimiento para los demás grupos de nodos del clúster. Espere a que finalicen todas las operaciones de eliminación.

Elimine manualmente el rol vinculado a servicios

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a servicios de AWSServiceRoleForAmazonEKSNodegroup. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados a servicios de Amazon EKS

Amazon EKS admite el uso de roles vinculados a servicios en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Cuotas y puntos de conexión de Amazon EKS.