Kebijakan IAM - Panduan Pengguna Eksctl
Kebijakan add-on IAM yang didukungMenambahkan peran instance khususMelampirkan kebijakan inlineMelampirkan kebijakan oleh ARN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan IAM

Anda dapat melampirkan Peran Instance ke grup node. Beban kerja yang berjalan pada node akan menerima izin IAM dari node. Untuk informasi mroe, lihat peran IAM untuk Amazon. EC2

Halaman ini mencantumkan templat kebijakan IAM yang telah ditentukan sebelumnya yang tersedia di eksctl. Template ini menyederhanakan proses pemberian izin layanan AWS kepada node EKS Anda tanpa harus membuat kebijakan IAM khusus secara manual.

Kebijakan add-on IAM yang didukung

Contoh semua kebijakan add-on yang didukung:

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Kebijakan Image Builder

imageBuilderKebijakan ini memungkinkan akses penuh ECR (Elastic Container Registry). Ini berguna untuk membangun, misalnya, server CI yang perlu mendorong gambar ke ECR.

Kebijakan EBS

ebsKebijakan ini memungkinkan driver EBS CSI (Elastic Block Store Container Storage Interface) yang baru.

Kebijakan Manajer Cert

certManagerKebijakan ini memungkinkan kemampuan untuk menambahkan catatan ke Route 53 untuk menyelesaikan tantangan DNS01. Informasi lebih lanjut dapat ditemukan di sini.

Menambahkan peran instance khusus

Contoh ini membuat nodegroup yang menggunakan kembali Peran Instans IAM yang ada dari cluster lain:

apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

Melampirkan kebijakan inline

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

Melampirkan kebijakan oleh ARN

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
Awas

Jika nodegroup menyertakan nodegroup attachPolicyARNs itu juga harus menyertakan kebijakan node default, sepertiAmazonEKSWorkerNodePolicy, AmazonEKS_CNI_Policy dan AmazonEC2ContainerRegistryReadOnly dalam contoh ini.