Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo IAM di Amazon EKS Connector
Puoi connettere Kubernetes i cluster per visualizzarli nel tuo AWS Management Console. Per collegarti a un cluster Kubernetes, crea un ruolo IAM.
Verificare la presenza di un ruolo del connettore EKS esistente
Per controllare se l'account dispone già di un ruolo di Amazon EKS Connector, utilizzare la procedura indicata di seguito.
Come verificare la presenza di AmazonEKSConnectorAgentRole
nella console IAM
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
-
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Cerca l'elenco dei ruoli per AmazonEKSConnectorAgentRole
. Se un ruolo che include AmazonEKSConnectorAgentRole
non esiste, consulta Creazione del ruolo agente di Amazon EKS Connector per crearlo. Se un ruolo che include AmazonEKSConnectorAgentRole
esiste, seleziona il ruolo per visualizzare le policy allegate.
-
Selezionare Autorizzazioni.
-
Assicurati che la policy gestita da ConnectorAgentPolicy AmazonEks sia associata al ruolo. Se la policy è collegata, il ruolo del connettore Amazon EKS è configurato correttamente.
-
Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).
-
Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Modifica policy di attendibilità e scegli Aggiorna policy.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
Creazione del ruolo agente di Amazon EKS Connector
Puoi usare AWS Management Console o AWS CloudFormation per creare il ruolo di agente del connettore.
- AWS CLI
-
-
Creare un file denominato eks-connector-agent-trust-policy.json
contenente il seguente JSON da utilizzare per il ruolo IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
-
Creare un file denominato eks-connector-agent-policy.json
contenente il seguente JSON da utilizzare per il ruolo IAM.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SsmControlChannel",
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel"
],
"Resource": "arn:aws:eks:*:*:cluster/*"
},
{
"Sid": "ssmDataplaneOperations",
"Effect": "Allow",
"Action": [
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenDataChannel",
"ssmmessages:OpenControlChannel"
],
"Resource": "*"
}
]
}
-
Crea il ruolo agente di Amazon EKS Connector utilizzando la policy di attendibilità e la policy creata negli elementi precedenti dell'elenco.
aws iam create-role \
--role-name AmazonEKSConnectorAgentRole
\
--assume-role-policy-document file://eks-connector-agent-trust-policy.json
-
Allegare la policy al ruolo agente di Amazon EKS Connector.
aws iam put-role-policy \
--role-name AmazonEKSConnectorAgentRole
\
--policy-name AmazonEKSConnectorAgentPolicy
\
--policy-document file://eks-connector-agent-policy.json
- AWS CloudFormation
-
Per creare il tuo ruolo di agente del connettore Amazon EKS con AWS CloudFormation.
-
Salva il seguente AWS CloudFormation modello in un file di testo sul tuo sistema locale.
---
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Provisions necessary resources needed to register clusters in EKS'
Parameters: {}
Resources:
EKSConnectorSLR:
Type: AWS::IAM::ServiceLinkedRole
Properties:
AWSServiceName: eks-connector.amazonaws.com
EKSConnectorAgentRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action: [ 'sts:AssumeRole' ]
Principal:
Service: 'ssm.amazonaws.com'
EKSConnectorAgentPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: EKSConnectorAgentPolicy
Roles:
- {Ref: 'EKSConnectorAgentRole'}
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: 'Allow'
Action: [ 'ssmmessages:CreateControlChannel' ]
Resource:
- Fn::Sub: 'arn:${AWS::Partition}:eks:*:*:cluster/*'
- Effect: 'Allow'
Action: [ 'ssmmessages:CreateDataChannel', 'ssmmessages:OpenDataChannel', 'ssmmessages:OpenControlChannel' ]
Resource: "*"
Outputs:
EKSConnectorAgentRoleArn:
Description: The agent role that EKS connector uses to communicate with Servizi AWS.
Value: !GetAtt EKSConnectorAgentRole.Arn
Apri la AWS CloudFormation console all'indirizzo https://console.aws.amazon.com/cloudformation.
-
Scegliere Crea pila (con nuove risorse o risorse esistenti).
-
In Specify template (Specifica modello), selezionare Upload a template file (Carica un file di modello) e Choose file (Scegli file).
-
Scegliere il file creato in precedenza, quindi selezionare Next (Successivo).
-
Per Stack name (Nome pila), immettere un nome per il ruolo, ad esempio eksConnectorAgentRole
, quindi scegliere Next (Successivo).
-
Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).
-
Nella pagina Revisione, esaminare le informazioni, accettare che la pila può creare risorse IAM, quindi scegliere Crea pila.