Activer les rôles IAM pour les comptes de service (IRSA) sur le cluster EKS - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer les rôles IAM pour les comptes de service (IRSA) sur le cluster EKS

La fonctionnalité des rôles IAM pour les comptes de service est disponible sur Amazon EKS versions 1.14 et versions ultérieures, et pour les clusters EKS qui sont mis à jour vers la version 1.13 ou une version ultérieure le 3 septembre 2019 ou après cette date. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les clusters EKS existants vers la version 1.14 ou une version ultérieure. Pour de plus amples informations, veuillez consulterMise à jour d'une version Kubernetes de cluster Amazon EKS.

Si votre cluster prend en charge les rôles IAM pour les comptes de service, uneOpenID ConnectURL de l'émetteur qui lui est associée. Vous pouvez afficher cette URL dans la console Amazon EKS ou utiliser lesAWS CLIpour le récupérer.

Important

Vous devez utiliser la dernière version deAWS CLIPour recevoir la sortie appropriée à partir de cette commande.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

La sortie attendue est la suivante.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Pour utiliser les rôles IAM pour les comptes de service de votre cluster, vous devez créer un fournisseur d'identité OIDC à l'aide deeksctlou leAWS Management Console.

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster aveceksctl

Vous pouvez vérifier la version de votre eksctl à l'aide de la commande suivante. Cette procédure part du principe que vous avez installéeksctlet que voseksctlversion 0.32.0 ou ultérieure.

eksctl version

Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, veuillez consulterInstallation ou mise à niveau de eksctl.

Créez votre fournisseur d'identité OIDC pour votre cluster avec la commande suivante. Remplaceznom_clusterAvec votre propre valeur.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avecAWS Management Console

Récupérez l'URL de l'émetteur OIDC à partir de la description de la console Amazon EKS de votre cluster, ou utilisez lesAWS CLI.

Utilisez la commande suivante pour récupérer l'URL de l'émetteur OIDC à partir deAWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Suivez les étapes ci-dessous pour récupérer l'URL de l'émetteur OIDC à partir de la console Amazon EKS.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissezFournisseurs d'identité, puisCréer un fournisseur.

    1. Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.

    2. Pour Provider URL (URL du fournisseur, collez l'URL de l'émetteur OIDC pour votre cluster.

    3. Pour Audience, tapez sts.amazonaws.com et choisissezÉtape suivante.

  3. Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.