Configuration de l'utilisation Amazon VPC CNI plugin for Kubernetes des rôles IAM pour les comptes de service (IRSA) - Amazon EKS
Étape 1 : création d'un rôle IAMÉtape 2 : redéploiement des Pods du Amazon VPC CNI plugin for KubernetesÉtape 3 : suppression de la politique du rôle de nœudCréer une politique IAM IPv6

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'utilisation Amazon VPC CNI plugin for Kubernetes des rôles IAM pour les comptes de service (IRSA)

Le Amazon VPC CNI plugin for Kubernetes est le plugin de mise en réseau de la mise en réseau du Pod dans les clusters Amazon EKS. Le plugin est chargé d'allouer des adresses IP VPC aux nœuds Kuberneteset de configurer la mise en réseau nécessaire pour les Pods sur chaque nœud. Le plugin :

  • Nécessite des autorisations AWS Identity and Access Management (IAM). Si votre cluster utilise la famille IPv4, les autorisations sont spécifiées dans la politique AmazonEKS_CNI_Policy AWS gérée. Si votre cluster utilise la famille IPv6, les autorisations doivent être ajoutées à une politique IAM que vous créez.Vous pouvez attacher cette politique au rôle IAM de nœud Amazon EKS ou à un rôle IAM distinct. Nous vous recommandons de l'affecter à un rôle séparé, comme détaillé dans cette rubrique.

  • Crée et est configuré pour utiliser un compte de service Kubernetes nommé aws-node quand il est déployé. Le compte de service est lié à un clusterrole Kubernetes nommé aws-node, qui reçoit les autorisations Kubernetes requises.

Note

Les Pods pour Amazon VPC CNI plugin for  Kubernetes ont accès aux autorisations attribuées au rôle IAM de nœud Amazon EKS, sauf si vous bloquez l'accès à IMDS. Pour plus d'informations, consultez Restreindre l'accès au profil d'instance affecté au composant master.

Prérequis

Étape 1 : création du rôle IAM Amazon VPC CNI plugin for Kubernetes

Pour créer le rôle IAM

  1. Déterminez la famille d'adresses IP de votre cluster.

    aws eks describe-cluster --name my-cluster | grep ipFamily

    L'exemple qui suit illustre un résultat.

    "ipFamily": "ipv4"

    La sortie peut renvoyer ipv6 à la place.

  2. Créez le rôle IAM. Vous pouvez utiliser eksctl ou kubectl et le AWS CLI pour créer votre rôle IAM.

    eksctl

    Créez un rôle IAM et attachez la politique IAM au rôle avec la commande qui correspond à la famille d'adresses IP de votre cluster. La commande crée et déploie une AWS CloudFormation pile qui crée un rôle IAM, y attache la politique que vous spécifiez et annote le compte de aws-node Kubernetes service existant avec l'ARN du rôle IAM créé.

    • IPv4

      Remplacez my-cluster par votre propre valeur.

      eksctl create iamserviceaccount \
    --name aws-node \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKSVPCCNIRole \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy \
    --override-existing-serviceaccounts \
    --approve

    • IPv6

      Remplacez my-cluster par votre propre valeur. Remplacez 111122223333 par l'ID de votre compte et remplacez AmazonEKS_CNI_IPv6_Policy par le nom de votre politique IPv6. Si vous ne disposez pas d'une politique IPv6, consultez Créer une politique IAM pour les clusters qui utilisent la famille IPv6 pour en créer une. Pour utiliser IPv6 avec votre cluster, ce dernier doit répondre à plusieurs exigences. Pour plus d’informations, consultez IPv6adresses pour les clustersPods, et services.

      eksctl create iamserviceaccount \
    --name aws-node \
    --namespace kube-system \
    --cluster my-cluster \    
    --role-name AmazonEKSVPCCNIRole \
    --attach-policy-arn arn:aws:iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \
    --override-existing-serviceaccounts \
    --approve
    kubectl and the AWS CLI

    1. Affichez l'URL du fournisseur OIDC de votre cluster.

      aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

      L'exemple qui suit illustre un résultat.

      https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

      Si aucune sortie n'est renvoyée, vous devez créer un fournisseur OIDC IAM pour votre cluster.

    2. Copiez le contenu suivant dans un fichier nommé vpc-cni-trust-policy.json. Remplacez 111122223333 par votre ID de compte et EXAMPLED539D4633E53DE1B71EXAMPLE par la sortie renvoyée à l'étape précédente. region-codeRemplacez-le par Région AWS celui dans lequel se trouve votre cluster.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:aud": "sts.amazonaws.com",
                    "oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE:sub": "system:serviceaccount:kube-system:aws-node"
                }
            }
        }
    ]
}

    3. Créez le rôle. Vous pouvez remplacer AmazonEKSVPCCNIRole par n'importe quel nom que vous choisissez.

      aws iam create-role \
  --role-name AmazonEKSVPCCNIRole \
  --assume-role-policy-document file://"vpc-cni-trust-policy.json"

    4. Attachez la politique IAM requise au rôle. Exécutez la commande qui correspond à la famille d'adresses IP de votre cluster.

      • IPv4

        aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy \
  --role-name AmazonEKSVPCCNIRole

      • IPv6

        Remplacez 111122223333 par l'ID de votre compte et AmazonEKS_CNI_IPv6_Policy par le nom de votre politique IPv6. Si vous ne disposez pas d'une politique IPv6, consultez Créer une politique IAM pour les clusters qui utilisent la famille IPv6 pour en créer une. Pour utiliser IPv6 avec votre cluster, ce dernier doit répondre à plusieurs exigences. Pour plus d’informations, consultez IPv6adresses pour les clustersPods, et services.

        aws iam attach-role-policy \
  --policy-arn arn:aws:iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \
  --role-name AmazonEKSVPCCNIRole

    5. Exécutez la commande suivante pour annoter le compte de service aws-node avec l'ARN du rôle IAM que vous avez créé précédemment. Remplacez les example values par vos propres valeurs.

      kubectl annotate serviceaccount \
    -n kube-system aws-node \
    eks.amazonaws.com/role-arn=arn:aws:iam::111122223333:role/AmazonEKSVPCCNIRole

  3. (Facultatif) Configurez le type de AWS Security Token Service point de terminaison utilisé par votre compte Kubernetes de service. Pour plus d’informations, consultez Configuration du AWS Security Token Service point de terminaison pour un compte de service.

Étape 2 : redéploiement des Pods du Amazon VPC CNI plugin for Kubernetes

  1. Supprimez et recréez tous les Pods existants associés au compte de service pour appliquer les variables d'environnement d'informations d'identification. L'annotation n'est pas appliquée aux Pods qui sont actuellement en cours d'exécution sans l'annotation. La commande suivante supprime les Pods de aws-node DaemonSet existants et les déploie avec l'annotation de compte de service.

    kubectl delete Pods -n kube-system -l k8s-app=aws-node

  2. Vérifiez que les Pods ont tous redémarré.

    kubectl get pods -n kube-system -l k8s-app=aws-node

  3. Décrivez l'un des Pods et vérifiez que les variables d'environnement AWS_WEB_IDENTITY_TOKEN_FILE et AWS_ROLE_ARN existent. Remplacez cpjw7 par le nom de l'un de vos Pods renvoyés dans la sortie de l'étape précédente.

    kubectl describe pod -n kube-system aws-node-cpjw7 | grep 'AWS_ROLE_ARN:\|AWS_WEB_IDENTITY_TOKEN_FILE:'

    L'exemple qui suit illustre un résultat.

    AWS_ROLE_ARN:                 arn:aws:iam::111122223333:role/AmazonEKSVPCCNIRole
      AWS_WEB_IDENTITY_TOKEN_FILE:  /var/run/secrets/eks.amazonaws.com/serviceaccount/token
      AWS_ROLE_ARN:                           arn:aws:iam::111122223333:role/AmazonEKSVPCCNIRole
      AWS_WEB_IDENTITY_TOKEN_FILE:            /var/run/secrets/eks.amazonaws.com/serviceaccount/token

    Deux ensembles de résultats dupliqués sont renvoyés, car le Pod comprend deux conteneurs. Les deux exemples présentent les mêmes valeurs.

    Si vous utilisez Pod le point de terminaison Région AWS al, la ligne suivante est également renvoyée dans la sortie précédente.

    AWS_STS_REGIONAL_ENDPOINTS=regional

Étape 3 : suppression de la politique CNI du rôle IAM de nœud

Si le rôle IAM de votre nœud Amazon EKS est actuellement associé à la politique AmazonEKS_CNI_Policy IAM (IPv4) ou à une IPv6politique, et que vous avez créé un rôle IAM distinct, que vous y avez attaché la politique et que vous l'avez attribué au compte de aws-node Kubernetes service, nous vous recommandons de supprimer la politique de votre rôle de nœud à l'aide de la AWS CLI commande correspondant à la famille d'adresses IP de votre cluster. Remplacez AmazonEKSNodeRole par le nom de votre rôle de nœud.

  • IPv4

    aws iam detach-role-policy --role-name AmazonEKSNodeRole --policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy

  • IPv6

    Remplacez 111122223333 par l'ID de votre compte et AmazonEKS_CNI_IPv6_Policy par le nom de votre politique IPv6.

    aws iam detach-role-policy --role-name AmazonEKSNodeRole --policy-arn arn:aws:iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy

Créer une politique IAM pour les clusters qui utilisent la famille IPv6

Si vous avez créé un cluster qui utilise la famille IPv6 et que la version 1.10.1 ou une version ultérieure du module complémentaire Amazon VPC CNI plugin for Kubernetes du cluster est configurée, vous devez créer une politique IAM que vous pourrez affecter à un rôle IAM. Si vous avez un cluster existant que vous n'avez pas configuré avec la famille IPv6 lorsque vous l'avez créé, alors pour utiliser IPv6, vous devez créer un nouveau cluster. Pour plus d'informations sur l'utilisation de IPv6 avec votre cluster, veuillez consulter IPv6adresses pour les clustersPods, et services.

  1. Copiez la politique suivante et enregistrez-la dans un fichier appelé vpc-cni-ipv6-policy.json.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssignIpv6Addresses",
                "ec2:DescribeInstances",
                "ec2:DescribeTags",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstanceTypes"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

  2. Créez la politique IAM.

    aws iam create-policy --policy-name AmazonEKS_CNI_IPv6_Policy --policy-document file://vpc-cni-ipv6-policy.json