Activer les rôles IAM pour comptes de service (IRSA) sur le cluster EKS - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer les rôles IAM pour comptes de service (IRSA) sur le cluster EKS

La fonctionnalité des rôles IAM pour les comptes de service est disponible sur Amazon EKS versions 1.14 et versions ultérieures et pour les clusters EKS qui sont mis à jour vers la version 1.13 ou une version ultérieure le 3 septembre 2019 ou après cette date. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les clusters EKS existants vers la version 1.14 ou une version ultérieure. Pour de plus amples informations, veuillez consulterMise à jour d'une version Kubernetes de cluster Amazon EKS.

Si votre cluster prend en charge les rôles IAM pour les comptes de service, il dispose d'unOpenID ConnectURL de l'émetteur qui lui est associée. Vous pouvez afficher cette URL dans la console Amazon EKS ou utiliser les éléments suivants :AWS CLIpour le récupérer.

Important

Vous devez utiliser la version la plus récente duAWS CLIpour recevoir la sortie appropriée à partir de cette commande.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

La sortie attendue est la suivante.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Pour utiliser les rôles IAM pour les comptes de service dans votre cluster, vous devez créer un fournisseur d'identité OIDC à l'aide de l'une des options suivantes :eksctlou leAWS Management Console.

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec eksctl

Vous pouvez vérifier la version de votre eksctl à l'aide de la commande suivante. Cette procédure part du principe que vous avez installéeksctlet que voseksctlversion 0.32.0 ou ultérieure.

eksctl version

Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, veuillez consulter.Installation ou mise à niveau d'eksctl.

Créez votre fournisseur d'identité OIDC pour votre cluster avec la commande suivante. Remplacez cluster_name par votre propre valeur.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec AWS Management Console

Récupérez l'URL de l'émetteur OIDC à partir de la description de la console Amazon EKS de votre cluster ou utilisez les éléments suivants :AWS CLIcommande.

Utilisez la commande suivante pour récupérer l'URL de l'émetteur OIDC à partir de laAWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Pour récupérer l'URL de l'émetteur OIDC à partir de la console Amazon EKS, effectuez les étapes suivantes.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissezFournisseurs d'identitéEnsuite, choisissezCréer un fournisseur.

    1. Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.

    2. Pour Provider URL (URL du fournisseur, collez l'URL de l'émetteur OIDC pour votre cluster.

    3. Pour Audience (Audience), tapez sts.amazonaws.com et choisissezÉtape suivante.

  3. Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.