Préparer les informations d'identification pour les nœuds hybrides

Les nœuds hybrides Amazon EKS utilisent des informations d'identification IAM temporaires fournies par des activations hybrides AWS SSM ou par AWS IAM Roles Anywhere pour s'authentifier auprès du cluster Amazon EKS. Vous devez utiliser des activations hybrides AWS SSM ou des rôles AWS IAM Anywhere avec la CLI Amazon EKS Hybrid Nodes (). nodeadm Vous ne devez pas utiliser à la fois les activations hybrides AWS SSM et les rôles AWS IAM Anywhere. Il est recommandé d'utiliser les activations hybrides AWS SSM si vous ne possédez pas d'infrastructure à clé publique (PKI) existante dotée d'une autorité de certification (CA) et de certificats pour vos environnements sur site. Si vous disposez d'une infrastructure PKI et de certificats sur site, utilisez AWS IAM Roles Anywhere.

Rôle IAM des nœuds hybrides

Avant de pouvoir connecter des nœuds hybrides à votre cluster Amazon EKS, vous devez créer un rôle IAM qui sera utilisé avec les activations hybrides AWS SSM ou AWS IAM Roles Anywhere pour les informations d'identification de vos nœuds hybrides. Après la création du cluster, vous utiliserez ce rôle avec une entrée d'accès Amazon EKS ou aws-auth ConfigMap une entrée pour associer le rôle IAM au contrôle d'accès basé sur les rôles (RBAC) de Kubernetes. Pour plus d'informations sur l'association du rôle IAM Hybrid Nodes à Kubernetes RBAC, consultez. Préparer l'accès au cluster pour les nœuds hybrides

Le rôle IAM de Hybrid Nodes doit disposer des autorisations suivantes.

• Autorisations nodeadm permettant d'utiliser l'eks:DescribeClusteraction pour recueillir des informations sur le cluster utilisé pour connecter les nœuds hybrides au cluster. Si vous n'activez pas l'eks:DescribeClusteraction, vous devez transmettre votre point de terminaison d'API Kubernetes, votre bundle CA de cluster et votre IPv4 CIDR de service dans la configuration du nœud à laquelle vous passez nodeadm lorsque vous exécutez init. nodeadm

• Autorisations permettant au kubelet d'utiliser des images de conteneur issues d'Amazon Elastic Container Registry (Amazon ECR), conformément à la politique d'Amazon. EC2 ContainerRegistryPullOnly

• Si vous utilisez AWS SSM, autorisations permettant à nodeadm init d'utiliser les activations hybrides AWS SSM, telles que définies dans la aws-managed-policy politique/.html. latest/reference/AmazonSSMManagedInstanceCore

• Si vous utilisez AWS SSM, autorisations d'utilisation de l'ssm:DeregisterManagedInstanceaction et de l'ssm:DescribeInstanceInformationaction pour nodeadm uninstall désenregistrer les instances.

• (Facultatif) Autorisations permettant à l'agent d'identité du pod Amazon EKS d'utiliser l'action eks-auth:AssumeRoleForPodIdentity pour récupérer les informations d'identification pour les pods.

Configuration des activations hybrides AWS SSM

Avant de configurer les activations hybrides AWS SSM, vous devez avoir créé et configuré un rôle IAM de nœuds hybrides. Pour de plus amples informations, veuillez consulter Création du rôle IAM Hybrid Nodes. Suivez les instructions de la section Créer une activation hybride pour enregistrer des nœuds auprès de Systems Manager dans le guide de l'utilisateur de AWS Systems Manager afin de créer une activation hybride AWS SSM pour vos nœuds hybrides. Le code et l'identifiant d'activation que vous recevez sont utilisés nodeadm lorsque vous enregistrez vos hôtes en tant que nœuds hybrides auprès de votre cluster Amazon EKS. Vous pourrez revenir à cette étape ultérieurement après avoir créé et préparé vos clusters Amazon EKS pour les nœuds hybrides.

Important

Systems Manager renvoie immédiatement le code d'activation et l'ID à la console ou la fenêtre de commande, selon la méthode de création de l'activation. Copiez ces informations et stockez-les en lieu sûr. Si vous quittez la console ou fermez la fenêtre de commande, vous risquez de perdre ces informations. Si vous les perdez, vous devrez recréer une activation.

Par défaut, les activations hybrides AWS SSM sont actives pendant 24 heures. Vous pouvez également spécifier un --expiration-date moment où vous créez votre activation hybride au format horodatage, tel que. 2024-08-01T00:00:00 Lorsque vous utilisez AWS SSM comme fournisseur d'informations d'identification, le nom du nœud de vos nœuds hybrides n'est pas configurable et est généré automatiquement par SSM. AWS Vous pouvez consulter et gérer les instances gérées par AWS SSM dans la console AWS Systems Manager sous Fleet Manager. Vous pouvez enregistrer jusqu'à 1 000 nœuds hybrides standard par compte et par AWS région sans frais supplémentaires. Toutefois, pour enregistrer plus de 1 000 nœuds hybrides, vous avez besoin d'activer le niveau d'instances avancées. L'utilisation du niveau d'instances avancées est payante et n'est pas incluse dans la tarification des nœuds hybrides Amazon EKS. Pour plus d'informations, consultez la section Tarification de AWS Systems Manager.

Consultez l'exemple ci-dessous pour savoir comment créer une activation hybride AWS SSM avec votre rôle IAM Hybrid Nodes. Lorsque vous utilisez des activations hybrides AWS SSM pour les informations d'identification de vos nœuds hybrides, les noms de vos nœuds hybrides auront le même format mi-012345678abcdefgh et les informations d'identification temporaires fournies par AWS SSM sont valides pendant 1 heure. Vous ne pouvez pas modifier le nom du nœud ou la durée des informations d'identification lorsque vous utilisez AWS SSM comme fournisseur d'informations d'identification. Les informations d'identification temporaires sont automatiquement modifiées par AWS SSM et la rotation n'a aucun impact sur l'état de vos nœuds ou applications.

Il est recommandé d'utiliser une activation hybride AWS SSM par cluster EKS pour définir l'ssm:DeregisterManagedInstanceautorisation AWS SSM du rôle IAM des nœuds hybrides afin de ne pouvoir désenregistrer que les instances associées à votre activation hybride SSM. AWS Dans l'exemple de cette page, une balise avec l'ARN du cluster EKS est utilisée, qui peut être utilisée pour mapper votre activation hybride AWS SSM au cluster EKS. Vous pouvez également utiliser votre balise et votre méthode préférées pour définir la portée des autorisations AWS SSM en fonction de vos limites et exigences en matière d'autorisation. L'REGISTRATION_LIMIToption de la commande ci-dessous est un entier utilisé pour limiter le nombre de machines pouvant utiliser l'activation hybride AWS SSM (par exemple10)

aws ssm create-activation \
     --region AWS_REGION \
     --default-instance-name eks-hybrid-nodes \
     --description "Activation for EKS hybrid nodes" \
     --iam-role AmazonEKSHybridNodesRole \
     --tags Key=EKSClusterARN,Value=arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
     --registration-limit REGISTRATION_LIMIT

Consultez les instructions de la section Créer une activation hybride pour enregistrer des nœuds auprès de Systems Manager pour plus d'informations sur les paramètres de configuration disponibles pour les activations hybrides AWS SSM.

Configurer des rôles AWS IAM n'importe où

Suivez les instructions de la section Getting started with IAM Roles Anywhere du guide de l'utilisateur d'IAM Roles Anywhere pour configurer l'ancre de confiance et le profil que vous utiliserez comme informations d'identification IAM temporaires pour votre rôle IAM Hybrid Nodes. Lorsque vous créez votre profil, vous pouvez le créer sans ajouter de rôles. Vous pouvez créer ce profil, revenir à ces étapes pour créer votre rôle Hybrid Nodes IAM, puis ajouter votre rôle à votre profil une fois celui-ci créé. Vous pouvez également AWS CloudFormation suivre les étapes décrites plus loin sur cette page pour terminer la configuration d'IAM Roles Anywhere pour les nœuds hybrides.

Lorsque vous ajoutez le rôle IAM Hybrid Nodes à votre profil, sélectionnez Accepter le nom de session du rôle personnalisé dans le panneau Nom de session du rôle personnalisé au bas de la page Modifier le profil de la console AWS IAM Roles Anywhere. Cela correspond au champ acceptRoleSessionNom de l'CreateProfileAPI. Cela vous permet de fournir un nom de nœud personnalisé pour vos nœuds hybrides dans la configuration à laquelle vous passez nodeadm pendant le processus de démarrage. Il est nécessaire de transmettre un nom de nœud personnalisé au cours du nodeadm init processus. Vous pouvez mettre à jour votre profil pour accepter un nom de session de rôle personnalisé après avoir créé votre profil.

Vous pouvez configurer la durée de validité des informations d'identification avec AWS IAM Roles Anywhere via le champ DurationSeconds de votre profil IAM Roles Anywhere. AWS La durée par défaut est de 1 heure avec un maximum de 12 heures. Le MaxSessionDuration paramètre de votre rôle IAM Hybrid Nodes doit être supérieur à celui durationSeconds de votre profil AWS IAM Roles Anywhere. Pour plus d'informationsMaxSessionDuration, consultez la documentation de UpdateRole l'API.

Les certificats et clés par machine que vous générez à partir de votre autorité de certification (CA) doivent être placés dans le /etc/iam/pki répertoire de chaque nœud hybride avec les noms server.pem de fichier du certificat et server.key de la clé.

Création du rôle IAM Hybrid Nodes

Pour exécuter les étapes décrites dans cette section, le principal IAM utilisant la AWS console ou la AWS CLI doit disposer des autorisations suivantes.

• iam:CreatePolicy

• iam:CreateRole

• iam:AttachRolePolicy

• Si vous utilisez AWS IAM Roles Anywhere

  • rolesanywhere:CreateTrustAnchor

  • rolesanywhere:CreateProfile

  • iam:PassRole

AWS CloudFormation

Installez et configurez la AWS CLI, si ce n'est pas déjà fait. Consultez la section Installation ou mise à jour vers la dernière version de la AWS CLI.

Étapes pour les AWS activations hybrides SSM

La CloudFormation pile crée le rôle IAM des nœuds hybrides avec les autorisations décrites ci-dessus. Le CloudFormation modèle ne crée pas l'activation hybride AWS SSM.

1. Téléchargez le CloudFormation modèle AWS SSM pour les nœuds hybrides :

   curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'

2. Créez un cfn-ssm-parameters.json avec les options suivantes :

   1. ROLE_NAMERemplacez-le par le nom de votre rôle IAM Hybrid Nodes. Par défaut, le CloudFormation modèle utilise AmazonEKSHybridNodesRole comme nom du rôle qu'il crée si vous ne spécifiez aucun nom.

   2. TAG_KEYRemplacez-la par la clé de balise de ressource AWS SSM que vous avez utilisée lors de la création de votre AWS activation hybride SSM. La combinaison de la clé de balise et de la valeur de balise est utilisée ssm:DeregisterManagedInstance à condition que le rôle IAM des nœuds hybrides ne soit autorisé qu'à désenregistrer les instances gérées par AWS SSM associées à votre AWS activation hybride SSM. Dans le CloudFormation modèle, la TAG_KEY valeur par défaut est. EKSClusterARN

   3. TAG_VALUERemplacez-la par la valeur de balise de ressource AWS SSM que vous avez utilisée lors de la création de votre AWS activation hybride SSM. La combinaison de la clé de balise et de la valeur de balise est utilisée ssm:DeregisterManagedInstance à condition que le rôle IAM des nœuds hybrides ne soit autorisé qu'à désenregistrer les instances gérées par AWS SSM associées à votre AWS activation hybride SSM. Si vous utilisez la valeur par défaut TAG_KEY deEKSClusterARN, transmettez l'ARN de votre cluster EKS en tant queTAG_VALUE. Les clusters EKS ARNs ont le formatarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
        "Parameters": {
          "RoleName": "ROLE_NAME",
          "SSMDeregisterConditionTagKey": "TAG_KEY",
          "SSMDeregisterConditionTagValue": "TAG_VALUE"
        }
      }

3. Déployez la CloudFormation pile. STACK_NAMERemplacez-le par le nom de la CloudFormation pile.

   aws cloudformation deploy \
       --stack-name STACK_NAME \
       --template-file hybrid-ssm-cfn.yaml \
       --parameter-overrides file://cfn-ssm-parameters.json \
       --capabilities CAPABILITY_NAMED_IAM

Étapes à suivre pour jouer AWS des rôles partout dans le monde

La CloudFormation pile crée l'ancre de confiance AWS IAM Roles Anywhere auprès de l'autorité de certification (CA) que vous configurez, crée le profil AWS IAM Roles Anywhere et crée le rôle IAM Hybrid Nodes avec les autorisations décrites précédemment.

1. Pour configurer une autorité de certification (CA)

   1. Pour utiliser une ressource d'autorité de certification AWS privée, ouvrez la console AWS Private Certificate Authority. Suivez les instructions du guide de l'utilisateur de AWS Private CA.

   2. Pour utiliser une autorité de certification externe, suivez les instructions fournies par l'autorité de certification. Vous fournirez le corps du certificat lors d'une étape ultérieure.

   3. Les certificats émis par le public CAs ne peuvent pas être utilisés comme points d'ancrage de confiance.

2. Téléchargez le CloudFormation modèle AWS IAM Roles Anywhere pour les nœuds hybrides

   curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'

3. Créez un cfn-iamra-parameters.json avec les options suivantes :

   1. ROLE_NAMERemplacez-le par le nom de votre rôle IAM Hybrid Nodes. Par défaut, le CloudFormation modèle utilise AmazonEKSHybridNodesRole comme nom du rôle qu'il crée si vous ne spécifiez aucun nom.

   2. CERT_ATTRIBUTERemplacez-le par l'attribut de certificat par machine qui identifie de manière unique votre hôte. L'attribut de certificat que vous utilisez doit correspondre au nom du nœud que vous utilisez pour la nodeadm configuration lorsque vous connectez des nœuds hybrides à votre cluster. Pour plus d’informations, consultez le nodeadmRéférence des nœuds hybrides. Par défaut, le CloudFormation modèle utilise ${aws:PrincipalTag/x509Subject/CN} as leCERT_ATTRIBUTE, qui correspond au champ CN de vos certificats par machine. Vous pouvez également vous faire $(aws:PrincipalTag/x509SAN/Name/CN} passer pour votreCERT_ATTRIBUTE.

   3. CA_CERT_BODYRemplacez-le par le corps du certificat de votre autorité de certification sans sauts de ligne. Ils CA_CERT_BODY doivent être au format Privacy Enhanced Mail (PEM). Si vous avez un certificat CA au format PEM, supprimez les sauts de ligne et les lignes BEGIN CERTIFICATE et END CERTIFICATE avant de placer le corps du certificat CA dans votre cfn-iamra-parameters.json fichier.

      {
        "Parameters": {
          "RoleName": "ROLE_NAME",
          "CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
          "CABundleCert": "CA_CERT_BODY"
        }
      }

4. Déployez le CloudFormation modèle. STACK_NAMERemplacez-le par le nom de la CloudFormation pile.

   aws cloudformation deploy \
       --stack-name STACK_NAME \
       --template-file hybrid-ira-cfn.yaml \
       --parameter-overrides file://cfn-iamra-parameters.json
       --capabilities CAPABILITY_NAMED_IAM

AWS CLI

Installez et configurez la AWS CLI, si ce n'est pas déjà fait. Consultez la section Installation ou mise à jour vers la dernière version de la AWS CLI.

Créer une politique de cluster EKS Describe

1. Créez un fichier nommé eks-describe-cluster-policy.json avec le contenu suivant :

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "eks:DescribeCluster"
               ],
               "Resource": "*"
           }
       ]
   }

2. Créez la politique à l'aide de la commande suivante :

   aws iam create-policy \
       --policy-name EKSDescribeClusterPolicy \
       --policy-document file://eks-describe-cluster-policy.json

Étapes pour les AWS activations hybrides SSM

1. Créez un fichier nommé eks-hybrid-ssm-policy.json avec les contenus suivants. La politique autorise deux actions ssm:DescribeInstanceInformation etssm:DeregisterManagedInstance. La politique restreint l'ssm:DeregisterManagedInstanceautorisation aux instances gérées AWS SSM associées à votre activation hybride AWS SSM en fonction de la balise de ressource que vous spécifiez dans votre politique de confiance.

   1. Remplacez AWS_REGION par la AWS région pour votre activation hybride AWS SSM.

   2. Remplacez AWS_ACCOUNT_ID par votre identifiant de AWS compte.

   3. TAG_KEYRemplacez-la par la clé de balise de ressource AWS SSM que vous avez utilisée lors de la création de votre AWS activation hybride SSM. La combinaison de la clé de balise et de la valeur de balise est utilisée ssm:DeregisterManagedInstance à condition que le rôle IAM des nœuds hybrides ne soit autorisé qu'à désenregistrer les instances gérées par AWS SSM associées à votre AWS activation hybride SSM. Dans le CloudFormation modèle, la TAG_KEY valeur par défaut est. EKSClusterARN

   4. TAG_VALUERemplacez-la par la valeur de balise de ressource AWS SSM que vous avez utilisée lors de la création de votre AWS activation hybride SSM. La combinaison de la clé de balise et de la valeur de balise est utilisée ssm:DeregisterManagedInstance à condition que le rôle IAM des nœuds hybrides ne soit autorisé qu'à désenregistrer les instances gérées par AWS SSM associées à votre AWS activation hybride SSM. Si vous utilisez la valeur par défaut TAG_KEY deEKSClusterARN, transmettez l'ARN de votre cluster EKS en tant queTAG_VALUE. Les clusters EKS ARNs ont le formatarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": "ssm:DescribeInstanceInformation",
                  "Resource": "*"
              },
              {
                  "Effect": "Allow",
                  "Action": "ssm:DeregisterManagedInstance",
                  "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
                  "Condition": {
                      "StringEquals": {
                          "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                      }
                  }
              }
          ]
      }

2. Créez la politique à l'aide de la commande suivante

   aws iam create-policy \
       --policy-name EKSHybridSSMPolicy \
       --policy-document file://eks-hybrid-ssm-policy.json

3. Créez un fichier nommé eks-hybrid-ssm-trust.json. AWS_REGIONRemplacez-le par la AWS région de votre activation hybride AWS SSM et AWS_ACCOUNT_ID par votre identifiant de AWS compte.

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Sid":"",
            "Effect":"Allow",
            "Principal":{
               "Service":"ssm.amazonaws.com"
            },
            "Action":"sts:AssumeRole",
            "Condition":{
               "StringEquals":{
                  "aws:SourceAccount":"AWS_ACCOUNT_ID"
               },
               "ArnEquals":{
                  "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
               }
            }
         }
      ]
   }

4. Créez le rôle à l'aide de la commande suivante.

   aws iam create-role \
       --role-name AmazonEKSHybridNodesRole \
       --assume-role-policy-document file://eks-hybrid-ssm-trust.json

5. Joignez le EKSDescribeClusterPolicy et le EKSHybridSSMPolicy que vous avez créés lors des étapes précédentes. Remplacez AWS_ACCOUNT_ID par votre identifiant de AWS compte.

   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy

   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy

6. Joignez les politiques AmazonEC2ContainerRegistryPullOnly et les politiques AmazonSSMManagedInstanceCore AWS gérées.

   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

Étapes à suivre pour jouer AWS des rôles partout dans le monde

Pour utiliser AWS IAM Roles Anywhere, vous devez configurer votre ancre de confiance AWS IAM Roles Anywhere avant de créer le rôle IAM Hybrid Nodes. Pour obtenir des instructions, consultez Configurer des rôles AWS IAM n'importe où.

1. Créez un fichier nommé eks-hybrid-iamra-trust.json. TRUST_ANCHOR ARNRemplacez-le par l'ARN de l'ancre de confiance que vous avez créée au cours des Configurer des rôles AWS IAM n'importe où étapes. La condition énoncée dans cette politique de confiance limite la capacité d' AWS IAM Roles Anywhere à assumer le rôle Hybrid Nodes IAM pour échanger des informations d'identification IAM temporaires uniquement lorsque le nom de session du rôle correspond au CN figurant dans le certificat x509 installé sur vos nœuds hybrides. Vous pouvez également utiliser d'autres attributs de certificat pour identifier de manière unique votre nœud. L'attribut de certificat que vous utilisez dans la politique de confiance doit correspondre à celui nodeName que vous avez défini dans votre nodeadm configuration. Pour plus d’informations, consultez le nodeadmRéférence des nœuds hybrides.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "rolesanywhere.amazonaws.com"
               },
               "Action": [
                   "sts:TagSession",
                   "sts:SetSourceIdentity"
               ],
               "Condition": {
                   "ArnEquals": {
                       "aws:SourceArn": "TRUST_ANCHOR_ARN"
                   }
               }
           },
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": "rolesanywhere.amazonaws.com"
               },
               "Action": "sts:AssumeRole",
               "Condition": {
                   "StringEquals": {
                       "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                   },
                   "ArnEquals": {
                       "aws:SourceArn": "TRUST_ANCHOR_ARN"
                   }
               }
           }
       ]
   }

2. Créez le rôle à l'aide de la commande suivante.

   aws iam create-role \
       --role-name AmazonEKSHybridNodesRole \
       --assume-role-policy-document file://eks-hybrid-iamra-trust.json

3. Joignez le EKSDescribeClusterPolicy fichier que vous avez créé lors des étapes précédentes. Remplacez AWS_ACCOUNT_ID par votre identifiant de AWS compte.

   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy

4. Joindre la politique AmazonEC2ContainerRegistryPullOnly AWS gérée

   aws iam attach-role-policy \
       --role-name AmazonEKSHybridNodesRole \
       --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

AWS Management Console

Créer une politique de cluster EKS Describe

1. Ouvrez la console Amazon IAM

2. Dans le volet de navigation de gauche, choisissez Politiques.

3. Sur la page Politiques, choisissez Créer une politique.

4. Sur la page Spécifier les autorisations, dans le panneau Sélectionner un service, choisissez EKS.

   1. Filtrez les actions pour DescribeClusteret sélectionnez l'action DescribeClusterLire.

   2. Choisissez Suivant.

5. Sur la page Réviser et créer

   1. Entrez un nom de politique pour votre politique, tel queEKSDescribeClusterPolicy.

   2. Choisissez Create Policy (Créer une politique).

Étapes pour les AWS activations hybrides SSM

1. Ouvrez la console Amazon IAM

2. Dans le volet de navigation de gauche, choisissez Politiques.

3. Sur la page Politiques, choisissez Créer une politique.

4. Sur la page Spécifier les autorisations, dans le menu de navigation en haut à droite de l'éditeur de politiques, choisissez JSON. Collez l'extrait suivant. Remplacez AWS_REGION par la AWS région de votre activation hybride AWS SSM et remplacez AWS_ACCOUNT_ID par votre identifiant de AWS compte. Remplacez TAG_KEY et TAG_VALUE par la clé de balise de ressource AWS SSM que vous avez utilisée lors de la création de votre activation hybride AWS SSM.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "ssm:DescribeInstanceInformation",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": "ssm:DeregisterManagedInstance",
               "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
               "Condition": {
                   "StringEquals": {
                       "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                   }
               }
           }
       ]
   }

   1. Choisissez Suivant.

5. Sur la page Réviser et créer.

   1. Entrez un nom de politique pour votre politique, tel que EKSHybridSSMPolicy

   2. Choisissez Create Policy (Créer une politique).

6. Dans le volet de navigation de gauche, choisissez Rôles.

7. Sur la page Rôles, choisissez Créer un rôle.

8. Sur la page Select trusted entity (Sélectionner une entité de confiance), procédez comme suit :

   1. Dans la section Type d'entité fiable, choisissez Politique de confiance personnalisée. Collez ce qui suit dans l'éditeur de politique de confiance personnalisée. AWS_REGIONRemplacez-le par la AWS région de votre activation hybride AWS SSM et AWS_ACCOUNT_ID par votre identifiant de AWS compte.

      {
         "Version":"2012-10-17",
         "Statement":[
            {
               "Sid":"",
               "Effect":"Allow",
               "Principal":{
                  "Service":"ssm.amazonaws.com"
               },
               "Action":"sts:AssumeRole",
               "Condition":{
                  "StringEquals":{
                     "aws:SourceAccount":"AWS_ACCOUNT_ID"
                  },
                  "ArnEquals":{
                     "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
                  }
               }
            }
         ]
      }

   2. Choisissez Suivant.

9. Sur la page Ajouter des autorisations, associez une stratégie personnalisée ou procédez comme suit :

   1. Dans la zone Filtrer les politiques, entrezEKSDescribeClusterPolicy, ou le nom de la politique que vous avez créée ci-dessus. Cochez la case située à gauche du nom de votre politique dans les résultats de recherche.

   2. Dans la zone Filtrer les politiques, entrezEKSHybridSSMPolicy, ou le nom de la politique que vous avez créée ci-dessus. Cochez la case située à gauche du nom de votre politique dans les résultats de recherche.

   3. Dans la zone Filter policies (Politiques de filtre), saisissez AmazonEC2ContainerRegistryPullOnly. Cochez la case située à gauche AmazonEC2ContainerRegistryPullOnly dans les résultats de recherche.

   4. Dans la zone Filter policies (Politiques de filtre), saisissez AmazonSSMManagedInstanceCore. Cochez la case située à gauche AmazonSSMManagedInstanceCore dans les résultats de recherche.

   5. Choisissez Suivant.

10. Sur la page Name, review, and create (Nommer, vérifier et créer), procédez comme suit :

    1. Pour Role name (Nom de rôle), saisissez un nom unique pour votre rôle, par exemple, AmazonEKSHybridNodesRole.

    2. Pour Description, remplacez le texte actuel par un texte descriptif tel que Amazon EKS - Hybrid Nodes role.

    3. Sélectionnez Créer un rôle.

Étapes à suivre pour jouer AWS des rôles partout dans le monde

Pour utiliser AWS IAM Roles Anywhere, vous devez configurer votre ancre de confiance AWS IAM Roles Anywhere avant de créer le rôle IAM Hybrid Nodes. Pour obtenir des instructions, consultez Configurer des rôles AWS IAM n'importe où.

1. Ouvrez la console Amazon IAM

2. Dans le volet de navigation de gauche, choisissez Rôles.

3. Sur la page Rôles, choisissez Créer un rôle.

4. Sur la page Select trusted entity (Sélectionner une entité de confiance), procédez comme suit :

   1. Dans la section Type d'entité fiable, choisissez Politique de confiance personnalisée. Collez ce qui suit dans l'éditeur de politique de confiance personnalisée. TRUST_ANCHOR ARNRemplacez-le par l'ARN de l'ancre de confiance que vous avez créée au cours des Configurer des rôles AWS IAM n'importe où étapes. La condition énoncée dans cette politique de confiance limite la capacité d' AWS IAM Roles Anywhere à assumer le rôle Hybrid Nodes IAM pour échanger des informations d'identification IAM temporaires uniquement lorsque le nom de session du rôle correspond au CN figurant dans le certificat x509 installé sur vos nœuds hybrides. Vous pouvez également utiliser d'autres attributs de certificat pour identifier de manière unique votre nœud. L'attribut de certificat que vous utilisez dans la politique de confiance doit correspondre au nom de nœud que vous avez défini dans votre configuration nodeadm. Pour plus d’informations, consultez le nodeadmRéférence des nœuds hybrides.

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "rolesanywhere.amazonaws.com"
                  },
                  "Action": [
                      "sts:TagSession",
                      "sts:SetSourceIdentity"
                  ],
                  "Condition": {
                      "ArnEquals": {
                          "aws:SourceArn": "TRUST_ANCHOR_ARN"
                      }
                  }
              },
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "rolesanywhere.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                      },
                      "ArnEquals": {
                          "aws:SourceArn": "TRUST_ANCHOR_ARN"
                      }
                  }
              }
          ]
      }

   2. Choisissez Suivant.

5. Sur la page Ajouter des autorisations, associez une stratégie personnalisée ou procédez comme suit :

   1. Dans la zone Filtrer les politiques, entrezEKSDescribeClusterPolicy, ou le nom de la politique que vous avez créée ci-dessus. Cochez la case située à gauche du nom de votre politique dans les résultats de recherche.

   2. Dans la zone Filter policies (Politiques de filtre), saisissez AmazonEC2ContainerRegistryPullOnly. Cochez la case située à gauche AmazonEC2ContainerRegistryPullOnly dans les résultats de recherche.

   3. Choisissez Suivant.

6. Sur la page Name, review, and create (Nommer, vérifier et créer), procédez comme suit :

   1. Pour Role name (Nom de rôle), saisissez un nom unique pour votre rôle, par exemple, AmazonEKSHybridNodesRole.

   2. Pour Description, remplacez le texte actuel par un texte descriptif tel que Amazon EKS - Hybrid Nodes role.

   3. Sélectionnez Créer un rôle.