Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Topik ini menjelaskan peran dan izin Identity and Access Management (IAM) and Access Management (IAM) yang diperlukan untuk menggunakan Mode Otomatis EKS. Mode Otomatis EKS menggunakan dua peran IAM utama: Peran IAM Cluster dan Peran IAM Node. Peran ini bekerja sama dengan EKS Pod Identity dan entri akses EKS untuk menyediakan manajemen akses komprehensif untuk kluster EKS Anda.
Saat Anda mengonfigurasi Mode Otomatis EKS, Anda perlu mengatur peran IAM ini dengan izin khusus yang memungkinkan AWS layanan berinteraksi dengan sumber daya cluster Anda. Ini termasuk izin untuk mengelola sumber daya komputasi, volume penyimpanan, penyeimbang beban, dan komponen jaringan. Memahami konfigurasi peran ini sangat penting untuk operasi dan keamanan klaster yang tepat.
Dalam Mode Otomatis EKS, peran AWS IAM secara otomatis dipetakan ke izin Kubernetes melalui entri akses EKS, menghilangkan kebutuhan untuk konfigurasi manual atau binding kustom. aws-auth ConfigMaps Saat Anda membuat kluster mode otomatis baru, EKS secara otomatis membuat izin Kubernetes yang sesuai menggunakan entri Access, memastikan bahwa AWS layanan dan komponen klaster memiliki tingkat akses yang sesuai di dalam sistem otorisasi Kubernetes dan Kubernetes. AWS Integrasi otomatis ini mengurangi kompleksitas konfigurasi dan membantu mencegah masalah terkait izin yang biasanya terjadi saat mengelola kluster EKS.
IAM role klaster
Peran IAM Cluster adalah peran AWS Identity and Access Management (IAM) yang digunakan oleh Amazon EKS untuk mengelola izin klaster Kubernetes. Peran ini memberikan Amazon EKS izin yang diperlukan untuk berinteraksi dengan AWS layanan lain atas nama klaster Anda, dan secara otomatis dikonfigurasi dengan izin Kubernetes menggunakan entri akses EKS.
-
Anda harus melampirkan kebijakan AWS IAM ke peran ini.
-
Mode Otomatis EKS melampirkan izin Kubernetes ke peran ini secara otomatis menggunakan entri akses EKS.
-
Dengan Mode Otomatis EKS, AWS sarankan untuk membuat Peran IAM Cluster tunggal per AWS akun.
-
AWS menyarankan penamaan peran ini
AmazonEKSAutoClusterRole. -
Peran ini memerlukan izin untuk beberapa AWS layanan untuk mengelola sumber daya termasuk volume EBS, Elastic Load Balancers, dan instance. EC2
-
Konfigurasi yang disarankan untuk peran ini mencakup beberapa kebijakan IAM AWS terkelola, terkait dengan berbagai kemampuan Mode Otomatis EKS.
-
AmazonEKSComputePolicy -
AmazonEKSBlockStoragePolicy -
AmazonEKSLoadBalancingPolicy -
AmazonEKSNetworkingPolicy -
AmazonEKSClusterPolicy
-
Untuk informasi selengkapnya tentang Peran IAM Cluster dan kebijakan IAM AWS terkelola, lihat:
Untuk informasi selengkapnya tentang akses Kubernetes, lihat:
IAM role simpul
Peran Node IAM adalah peran AWS Identity and Access Management (IAM) yang digunakan oleh Amazon EKS untuk mengelola izin bagi node pekerja di klaster Kubernetes. Peran ini memberikan EC2 instans yang berjalan sebagai node Kubernetes izin yang diperlukan untuk berinteraksi dengan AWS layanan dan sumber daya, dan secara otomatis dikonfigurasi dengan izin Kubernetes RBAC menggunakan entri akses EKS.
-
Anda harus melampirkan kebijakan AWS IAM ke peran ini.
-
Mode Otomatis EKS melampirkan izin Kubernetes RBAC ke peran ini secara otomatis menggunakan entri akses EKS.
-
AWS menyarankan penamaan peran ini
AmazonEKSAutoNodeRole. -
Dengan Mode Otomatis EKS, AWS menyarankan untuk membuat Peran IAM Node tunggal per AWS akun.
-
Peran ini memiliki izin terbatas. Izin utama termasuk mengasumsikan Peran Identitas Pod, dan menarik gambar dari ECR.
-
AWS menyarankan kebijakan IAM AWS terkelola berikut:
-
AmazonEKSWorkerNodeMinimalPolicy -
AmazonEC2ContainerRegistryPullOnly
-
Untuk informasi selengkapnya tentang Peran IAM Cluster dan kebijakan IAM AWS terkelola, lihat:
Untuk informasi selengkapnya tentang akses Kubernetes, lihat:
Peran terkait layanan
Amazon EKS menggunakan peran terkait layanan (SLR) untuk operasi tertentu. Peran tertaut layanan adalah jenis IAM role unik yang terkait langsung dengan Amazon EKS. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon EKS dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
AWS secara otomatis membuat dan mengkonfigurasi SLR. Anda dapat menghapus SLR hanya setelah pertama kali menghapus sumber daya terkait mereka. Ini melindungi sumber daya Amazon EKS Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Kebijakan SLR memberikan izin Amazon EKS untuk mengamati dan menghapus komponen infrastruktur inti: EC2 sumber daya (instance, antarmuka jaringan, grup keamanan), sumber daya ELB (penyeimbang beban, grup target), CloudWatch kemampuan (logging dan metrik), dan peran IAM dengan awalan “eks”. Ini juga memungkinkan jaringan titik akhir pribadi melalui VPC/asosiasi zona yang dihosting dan mencakup izin untuk EventBridge pemantauan dan pembersihan sumber daya yang ditandai EKS.
Untuk informasi selengkapnya, lihat:
AWS Tag khusus untuk sumber daya EKS Auto
Secara default, kebijakan terkelola yang terkait dengan Mode Otomatis EKS tidak mengizinkan penerapan tag yang ditentukan pengguna ke sumber daya yang disediakan AWS Mode Otomatis. Jika ingin menerapkan tag yang ditentukan pengguna ke AWS sumber daya, Anda harus melampirkan izin tambahan ke Peran IAM Cluster dengan izin yang cukup untuk membuat dan memodifikasi tag pada sumber daya. AWS Di bawah ini adalah contoh kebijakan yang memungkinkan akses penandaan tidak terbatas:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Compute",
"Effect": "Allow",
"Action": [
"ec2:CreateFleet",
"ec2:RunInstances",
"ec2:CreateLaunchTemplate"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
},
"StringLike": {
"aws:RequestTag/eks:kubernetes-node-class-name": "*",
"aws:RequestTag/eks:kubernetes-node-pool-name": "*"
}
}
},
{
"Sid": "Storage",
"Effect": "Allow",
"Action": [
"ec2:CreateVolume",
"ec2:CreateSnapshot"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:snapshot/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "Networking",
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
},
"StringLike": {
"aws:RequestTag/eks:kubernetes-cni-node-name": "*"
}
}
},
{
"Sid": "LoadBalancer",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateRule",
"ec2:CreateSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "ShieldProtection",
"Effect": "Allow",
"Action": [
"shield:CreateProtection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "ShieldTagResource",
"Effect": "Allow",
"Action": [
"shield:TagResource"
],
"Resource": "arn:aws:shield::*:protection/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
}
]
}Referensi Kebijakan Akses
Untuk informasi selengkapnya tentang izin Kubernetes yang digunakan oleh Mode Otomatis EKS, lihat. Tinjau izin kebijakan akses
