Utilisation de rôles pour les clusters locaux Amazon EKS sur Outpost

Amazon Elastic Kubernetes Service AWS utilise des rôles liés au service Identity and Access Management (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Amazon EKS. Les rôles liés au service sont prédéfinis par Amazon EKS et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration d'Amazon EKS, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon EKS définit les autorisations de ses rôles liés à un service ; sauf définition contraire, seul Amazon EKS peut endosser ses rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Amazon EKS, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Pour plus d'informations sur les autres services prenant en charge les rôles liés à un service, consultez les services AWS opérationnels avec IAM et recherchez les services présentant la mention Yes (Oui) dans la colonne Service-linked roles (Rôles liés à un service). Choisissez un Yes (oui) ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations du rôle lié à un service pour Amazon EKS

Amazon EKS utilise le rôle lié au service nommé. AWSServiceRoleForAmazonEKSLocalOutpost Ce rôle permet à Amazon EKS de gérer les clusters locaux de votre compte. Les politiques jointes permettent au rôle de gérer les ressources suivantes : interfaces réseau, groupes de sécurité, journaux et EC2 instances Amazon.

Note

Le rôle lié à un service AWSServiceRoleForAmazonEKSLocalOutpost est distinct du rôle requis pour la création de cluster. Pour de plus amples informations, veuillez consulter Rôle IAM de cluster Amazon EKS.

Le rôle lié à un service AWSServiceRoleForAmazonEKSLocalOutpost approuve les services suivants pour endosser le rôle :

• outposts.eks-local.amazonaws.com

La politique d'autorisations liée au rôle permet à Amazon EKS de réaliser les actions suivantes sur les ressources spécifiées :

• AmazonEKSServiceRolePolicy

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM.

Création d'un rôle lié à un service pour Amazon EKS

Il n'est pas nécessaire de créer manuellement un rôle lié à un service. Lorsque vous créez un cluster dans la AWS Management Console AWS CLI ou l' AWS API, Amazon EKS crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un cluster, Amazon EKS crée automatiquement le rôle lié au service à nouveau.

Modification d'un rôle lié à un service pour Amazon EKS

Amazon EKS ne vous autorise pas à modifier le rôle lié à un service AWSServiceRoleForAmazonEKSLocalOutpost. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle car différentes entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.

Suppression d'un rôle lié à un service pour Amazon EKS

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer manuellement.

Nettoyer un rôle lié à un service

Avant de pouvoir utiliser IAM pour supprimer un rôle lié à un service, vous devez supprimer toutes les ressources utilisées par le rôle.

Note

Si le service Amazon EKS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.

1. Ouvrez la console Amazon EKS.

2. Sélectionnez Amazon EKS Clusters (Clusters Amazon EKS) dans le panneau de navigation de gauche.

3. Si votre cluster possède des groupes de nœuds ou des profils Fargate, vous devez les supprimer avant de pouvoir supprimer le cluster. Pour plus d’informations, consultez Supprimer un groupe de nœuds gérés de votre cluster et Supprimer un profil Fargate.

4. Dans la page Clusters, choisissez le cluster à supprimer et cliquez sur Delete (Supprimer).

5. Tapez le nom du cluster dans la fenêtre de confirmation de suppression, puis choisissez Delete (Supprimer).

6. Répétez cette procédure pour tous les autres clusters de votre compte. Attendez la fin de toutes les opérations de suppression.

Suppression manuelle du rôle lié au service

Utilisez la console IAM, la AWS CLI ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForAmazonEKSLocalOutpost service. Pour plus d'informations, consultez Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles liés à un service Amazon EKS

Amazon EKS prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d'informations, consultez Amazon EKS endpoints and quotas (langue française non garantie).