Politiques complémentaires IAM prises en charge Ajouter un rôle d'instance personnalisé Joindre des politiques en ligne Joindre des politiques par ARN

Politiques IAM

Vous pouvez associer des rôles d'instance à des groupes de nœuds. Les charges de travail exécutées sur le nœud recevront des autorisations IAM de la part du nœud. Pour plus d'informations, consultez la section Rôles IAM pour Amazon EC2.

Cette page répertorie les modèles de politique IAM prédéfinis disponibles dans eksctl. Ces modèles simplifient le processus d'octroi à vos nœuds EKS des autorisations de service AWS appropriées sans avoir à créer manuellement des politiques IAM personnalisées.

Politiques complémentaires IAM prises en charge

Exemple de toutes les politiques relatives aux modules complémentaires prises en charge :


nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Politique d'Image Builder

La imageBuilder politique permet un accès complet à l'ECR (Elastic Container Registry). Cela est utile pour créer, par exemple, un serveur CI qui doit envoyer des images vers ECR.

Politique EBS

La ebs politique active le nouveau pilote EBS CSI (Elastic Block Store Container Storage Interface).

Politique du gestionnaire de certificats

La certManager politique permet d'ajouter des enregistrements à Route 53 afin de résoudre le défi DNS01. Vous trouverez plus d'informations ici.

Ajouter un rôle d'instance personnalisé

Cet exemple crée un groupe de nœuds qui réutilise un rôle d'instance IAM existant provenant d'un autre cluster :


apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

Joindre des politiques en ligne


nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

Joindre des politiques par ARN


nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true

Avertissement

Si un groupe de nœuds inclut le, attachPolicyARNs il doit également inclure les politiques de nœud par défautAmazonEKSWorkerNodePolicy, AmazonEKS_CNI_Policy comme AmazonEC2ContainerRegistryReadOnly dans cet exemple.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Limite des autorisations IAM

Gestion des utilisateurs et des rôles IAM