Activer les rôles IAM pour les comptes de service (IRSA) sur le cluster EKS - Amazon EMR
Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec eksctlPour créer un fournisseur d'identité OIDC IAM pour votre cluster avec AWS Management Console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer les rôles IAM pour les comptes de service (IRSA) sur le cluster EKS

La fonctionnalité des rôles IAM pour les comptes de service est disponible sur les versions 1.14 et ultérieures d'Amazon EKS et pour les clusters EKS mis à jour vers les versions 1.13 ou ultérieures le 3 septembre 2019 ou après cette date. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les clusters EKS existants vers la version 1.14 ou ultérieure. Pour plus d'informations, consultez la section Mise à jour d'une version de Kubernetes d'un cluster Amazon EKS.

Si votre cluster prend en charge les rôles IAM pour les comptes de service, une URL d'émetteur OpenID Connect lui est associée. Vous pouvez consulter cette URL dans la console Amazon EKS ou utiliser la AWS CLI commande suivante pour la récupérer.

Important

Vous devez utiliser la dernière version de AWS CLI pour obtenir la sortie correcte de cette commande.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

Le résultat attendu est le suivant.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Pour utiliser les rôles IAM pour les comptes de service de votre cluster, vous devez créer un fournisseur d'identité OIDC à l'aide de eksctl ou du. AWS Management Console

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec eksctl

Vous pouvez vérifier la version de votre eksctl à l'aide de la commande suivante. Cette procédure suppose que vous avez installé eksctl et que votre eksctl version est 0.32.0 ou ultérieure.

eksctl version

Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, voir Installation ou mise à niveau d'eksctl.

Créez votre fournisseur d'identité OIDC pour votre cluster avec la commande suivante. Remplacez cluster_name par votre propre valeur.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec AWS Management Console

Récupérez l'URL de l'émetteur OIDC à partir de la description de votre cluster sur la console Amazon EKS, ou utilisez la AWS CLI commande suivante.

Utilisez la commande suivante pour récupérer l'URL de l'émetteur OIDC à partir duAWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Procédez comme suit pour récupérer l'URL de l'émetteur OIDC depuis la console Amazon EKS.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Identity Providers, puis Create Provider.

    1. Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.

    2. Pour Provider URL (URL du fournisseur, collez l'URL de l'émetteur OIDC pour votre cluster.

    3. Pour Audience, saisissez sts.amazonaws.com et choisissez Next Step.

  3. Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.