Activation des rôles IAM pour les comptes de service (IRSA) sur le cluster EKS - Amazon EMR
Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec eksctlPour créer un fournisseur d'identité OIDC IAM pour votre cluster avec AWS Management Console

Activation des rôles IAM pour les comptes de service (IRSA) sur le cluster EKS

La fonctionnalité des rôles IAM pour les comptes de service est disponible sur Amazon EKS en version 1.14 ou ultérieure et pour les clusters EKS mis à jour vers la version 1.13 ou ultérieure à partir du 3 septembre 2019. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les clusters EKS existants vers la version 1.14 ou une version ultérieure. Pour plus d'informations, consultez la rubrique Mise à jour de la version Kubernetes d'un cluster Amazon EKS.

Si votre cluster prend en charge les rôles IAM pour les comptes de service, une URL d'émetteur OpenID Connect lui est associée. Vous pouvez afficher cette URL dans la console Amazon EKS ou utiliser la commande AWS CLI suivante pour la récupérer.

Important

Vous devez utiliser la dernière version de la AWS CLI pour que cette commande produise des résultats corrects.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

Le résultat attendu est le suivant.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Pour utiliser les rôles IAM pour les comptes de service dans votre cluster, vous devez créer un fournisseur d'identité OIDC à l'aide d'eksctl ou de la AWS Management Console.

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec eksctl

Vous pouvez vérifier la version de votre eksctl à l'aide de la commande suivante. Cette procédure suppose que vous avez installé eksctl et que votre version eksctl est 0.32.0 ou une version ultérieure.

eksctl version

Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, consultez la rubrique Installation ou mise à niveau d'eksctl.

Créez votre fournisseur d'identité OIDC pour votre cluster avec la commande suivante. Remplacez cluster_name par votre propre valeur.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Pour créer un fournisseur d'identité OIDC IAM pour votre cluster avec AWS Management Console

Récupérez l'URL de l'émetteur OIDC à partir de la description de la console Amazon EKS de votre cluster, ou utilisez la commande AWS CLI suivante.

Utilisez la commande suivante pour récupérer l'URL de l'émetteur OIDC à partir de la AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Suivez les étapes ci-dessous pour récupérer l'URL de l'émetteur OIDC à partir de la console Amazon EKS.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Fournisseurs d'identité, puis Créer un fournisseur.

    1. Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.

    2. Pour Provider URL (URL du fournisseur, collez l'URL de l'émetteur OIDC pour votre cluster.

    3. Pour Public ciblé, saisissez sts.amazonaws.com et choisissez Étape suivante.

  3. Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.