Policy aggiuntive IAM supportate Aggiungere un ruolo di istanza personalizzato Allegare politiche in linea Allegare politiche tramite ARN

Policy IAM

Puoi collegare Instance Roles ai gruppi di nodi. I carichi di lavoro in esecuzione sul nodo riceveranno le autorizzazioni IAM dal nodo. Per ulteriori informazioni, consulta Ruoli IAM per Amazon EC2.

Questa pagina elenca i modelli di policy IAM predefiniti disponibili in eksctl. Questi modelli semplificano il processo di concessione ai nodi EKS delle autorizzazioni di servizio AWS appropriate senza dover creare manualmente policy IAM personalizzate.

Policy aggiuntive IAM supportate

Esempio di tutte le politiche aggiuntive supportate:


nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Politica di Image Builder

La imageBuilder policy consente l'accesso completo all'ECR (Elastic Container Registry). Ciò è utile per creare, ad esempio, un server CI che deve inviare immagini a ECR.

Politica EBS

La ebs policy abilita il nuovo driver EBS CSI (Elastic Block Store Container Storage Interface).

Politica di Cert Manager

La certManager policy consente di aggiungere record a Route 53 per risolvere la sfida DNS01. Ulteriori informazioni possono essere trovate qui.

Aggiungere un ruolo di istanza personalizzato

Questo esempio crea un gruppo di nodi che riutilizza un ruolo di istanza IAM esistente da un altro cluster:


apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

Allegare politiche in linea


nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

Allegare politiche tramite ARN


nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true

avvertimento

Se un gruppo di nodi include il, attachPolicyARNs deve includere anche le politiche dei nodi predefiniteAmazonEKSWorkerNodePolicy, AmazonEKS_CNI_Policy come in questo esempio. AmazonEC2ContainerRegistryReadOnly

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Limite delle autorizzazioni IAM

Gestione degli utenti e dei ruoli IAM