Activation des rôles IAM pour les comptes de service (IRSA) sur le cluster EKS - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activation des rôles IAM pour les comptes de service (IRSA) sur le cluster EKS

La fonctionnalité des rôles IAM pour les comptes de service est disponible sur Amazon EKS en version 1.14 ou ultérieure et pour les clusters EKS mis à jour vers la version 1.13 ou ultérieure à partir du 3 septembre 2019. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les clusters EKS existants vers la version 1.14 ou une version ultérieure. Pour plus d'informations, consultez la rubrique Mise à jour de la version Kubernetes d'un cluster Amazon EKS.

Si votre cluster prend en charge les rôles IAM pour les comptes de service, une URL d'émetteur OpenID Connect lui est associée. Vous pouvez consulter cette URL dans la console Amazon EKS ou utiliser la AWS CLI commande suivante pour la récupérer.

Important

Vous devez utiliser la dernière version de AWS CLI pour obtenir le résultat approprié de cette commande.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

Le résultat attendu est le suivant.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Pour utiliser les rôles IAM pour les comptes de service dans votre cluster, vous devez créer un fournisseur d'identité OIDC à l'aide d'eksctl ou de la AWS Management Console.

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec eksctl

Vous pouvez vérifier la version de votre eksctl à l'aide de la commande suivante. Cette procédure suppose que vous avez installé eksctl et que votre version eksctl est 0.32.0 ou une version ultérieure.

eksctl version

Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, consultez la rubrique Installation ou mise à niveau d'eksctl.

Créez votre fournisseur d'identité OIDC pour votre cluster avec la commande suivante. Remplacez cluster_name par votre propre valeur.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Pour créer un fournisseur d'identité IAM OIDC pour votre cluster à l'aide du AWS Management Console

Récupérez l'URL de l'émetteur OIDC dans la description de votre cluster sur la console Amazon EKS, ou utilisez la commande suivante AWS CLI .

Utilisez la commande suivante pour récupérer l'URL de l'émetteur OIDC à partir de la AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Suivez les étapes ci-dessous pour récupérer l'URL de l'émetteur OIDC à partir de la console Amazon EKS.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Fournisseurs d'identité, puis Créer un fournisseur.

    1. Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.

    2. Pour Provider URL (URL du fournisseur, collez l'URL de l'émetteur OIDC pour votre cluster.

    3. Pour Public ciblé, saisissez sts.amazonaws.com et choisissez Étape suivante.

  3. Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.