Peran IAM konektor Amazon EKS

Anda dapat menghubungkan Kubernetes cluster untuk melihatnya di file Anda AWS Management Console. Untuk terhubung ke Kubernetes cluster, buat peran IAM.

Periksa peran konektor EKS yang ada

Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran konektor Amazon EKS.

Untuk memeriksa AmazonEKSConnectorAgentRole di konsol IAM

1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi sebelah kiri, pilih Peran.

3. Cari daftar peran untuk AmazonEKSConnectorAgentRole. Jika peran yang menyertakan AmazonEKSConnectorAgentRole tidak ada, maka lihat Membuat peran agen konektor Amazon EKS untuk membuat peran tersebut. Jika peran yang mencakup AmazonEKSConnectorAgentRole ada, kemudian pilih peran untuk melihat kebijakan terlampir.

4. Pilih Izin.

5. Pastikan bahwa kebijakan terkelola ConnectorAgentPolicy AmazonEks dilampirkan pada peran tersebut. Jika kebijakan dilampirkan, peran konektor Amazon EKS Anda dikonfigurasi dengan benar.

6. Pilih Trust relationship, lalu pilih Edit trust policy.

7. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih Cancel (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela Edit kebijakan kepercayaan dan pilih Perbarui kebijakan.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "ssm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }

Membuat peran agen konektor Amazon EKS

Anda dapat menggunakan AWS Management Console atau AWS CloudFormation untuk membuat peran agen konektor.

AWS CLI

1. Buat file bernama eks-connector-agent-trust-policy.json yang berisi JSON berikut untuk digunakan untuk peran IAM.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Effect": "Allow",
               "Principal": {
                   "Service": [
                       "ssm.amazonaws.com"
                   ]
               },
               "Action": "sts:AssumeRole"
           }
       ]
   }

2. Buat file bernama eks-connector-agent-policy.json yang berisi JSON berikut untuk digunakan untuk peran IAM.

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "SsmControlChannel",
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateControlChannel"
               ],
               "Resource": "arn:aws:eks:*:*:cluster/*"
           },
           {
               "Sid": "ssmDataplaneOperations",
               "Effect": "Allow",
               "Action": [
                   "ssmmessages:CreateDataChannel",
                   "ssmmessages:OpenDataChannel",
                   "ssmmessages:OpenControlChannel"
               ],
               "Resource": "*"
           }
       ]
   }

3. Buat peran agen Amazon EKS Connector menggunakan kebijakan kepercayaan dan kebijakan yang Anda buat di item daftar sebelumnya.

   aws iam create-role \
        --role-name AmazonEKSConnectorAgentRole \
        --assume-role-policy-document file://eks-connector-agent-trust-policy.json
   

4. Lampirkan kebijakan ke peran agen Amazon EKS Connector Anda.

   aws iam put-role-policy \
        --role-name AmazonEKSConnectorAgentRole \
        --policy-name AmazonEKSConnectorAgentPolicy \
        --policy-document file://eks-connector-agent-policy.json
   

AWS CloudFormation

Untuk membuat peran agen konektor Amazon EKS Anda dengan AWS CloudFormation.

1. Simpan AWS CloudFormation template berikut ke file teks di sistem lokal Anda.

   catatan

   Template ini juga menciptakan peran terkait layanan yang seharusnya dibuat saat registerCluster API dipanggil. Lihat Menggunakan peran untuk menghubungkan Kubernetes cluster ke Amazon EKS untuk detail.

   ---
   AWSTemplateFormatVersion: '2010-09-09'
   Description: 'Provisions necessary resources needed to register clusters in EKS'
   Parameters: {}
   Resources:
     EKSConnectorSLR:
       Type: AWS::IAM::ServiceLinkedRole
       Properties:
         AWSServiceName: eks-connector.amazonaws.com
   
     EKSConnectorAgentRole:
       Type: AWS::IAM::Role
       Properties:
         AssumeRolePolicyDocument:
           Version: '2012-10-17'
           Statement:
             - Effect: Allow
               Action: [ 'sts:AssumeRole' ]
               Principal:
                 Service: 'ssm.amazonaws.com'
   
     EKSConnectorAgentPolicy:
       Type: AWS::IAM::Policy
       Properties:
         PolicyName: EKSConnectorAgentPolicy
         Roles:
           - {Ref: 'EKSConnectorAgentRole'}
         PolicyDocument:
           Version: '2012-10-17'
           Statement:
             - Effect: 'Allow'
               Action: [ 'ssmmessages:CreateControlChannel' ]
               Resource:
               - Fn::Sub: 'arn:${AWS::Partition}:eks:*:*:cluster/*'
             - Effect: 'Allow'
               Action: [ 'ssmmessages:CreateDataChannel', 'ssmmessages:OpenDataChannel', 'ssmmessages:OpenControlChannel' ]
               Resource: "*"
   Outputs:
     EKSConnectorAgentRoleArn:
       Description: The agent role that EKS connector uses to communicate with AWS layanan.
       Value: !GetAtt EKSConnectorAgentRole.Arn

2. Buka AWS CloudFormation konsol di https://console.aws.amazon.com/cloudformation.

3. Pilih Buat tumpukan (baik dengan sumber daya baru atau sumber daya yang ada.

4. Untuk Tentukan templat, pilih Unggah sebuah file templat, kemudian pilih Pilih file.

5. Pilih file yang telah Anda buat sebelumnya, dan kemudian pilih Selanjutnya.

6. Untuk Nama tumpukan, masukkan nama untuk peran Anda, misalnya eksConnectorAgentRole, kemudian pilih Selanjutnya.

7. Pada halaman Konfigurasikan opsi tumpukan, pilih Selanjutnya.

8. Di halaman Tinjauan, tinjau informasi Anda, nyatakan bahwa tumpukan dapat membuat sumber daya IAM, kemudian pilih Buat.