Ruolo IAM del cluster Amazon EKS - Amazon EKS

Ruolo IAM del cluster Amazon EKS

I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate ad altri servizi AWS per tuo conto per gestire le risorse utilizzate con il servizio. Prima di poter creare cluster Amazon EKS, è necessario creare un ruolo IAM con le seguenti policy IAM:

Nota

Prima del 16 aprile 2020, era richiesto anche AmazonEKSServicePolicy e il nome suggerito era eksServiceRole. Con il ruolo AWSServiceRoleForAmazonEKS collegato ai servizi, tale policy non è più necessaria per i cluster creati a partire dal 16 aprile 2020.

Verificare la presenza di un ruolo del cluster esistente

Per verificare se l'account dispone già di un ruolo del cluster Amazon EKS, utilizzare la procedura indicata di seguito.

Per verificare la presenza di eksClusterRole nella console IAM
  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra seleziona Ruoli.

  3. Cercare l'elenco dei ruoli per eksClusterRole. Se un ruolo che include eksClusterRole non esiste, consultare Creazione del ruolo del cluster Amazon EKS per creare il ruolo. Se un ruolo che include eksClusterRole esiste, selezionare il ruolo per visualizzare le policy allegate.

  4. Selezionare Autorizzazioni.

  5. Assicurarsi che la policy gestita AmazonEKSClusterPolicy sia allegata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.

  6. Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).

  7. Verifica che la relazione di trust includa la seguente policy. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Edit trust policy (Modifica policy di attendibilità) e scegli Update policy (Aggiorna policy).

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Creazione del ruolo del cluster Amazon EKS

Per creare un ruolo cluster, è possibile utilizzare la AWS Management Console o la AWS CLI.

AWS Management Console
Creazione del ruolo del cluster Amazon EKS nella console IAM
  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegliere Roles (Ruoli), quindi Create role (Crea ruolo).

  3. In Trusted entity type (Tipo di entità attendibile), scegli AWS service (Servizio ).

  4. Nell'elenco a discesa Use cases for other Servizi AWS (Casi d'uso per altri ), scegli EKS.

  5. Scegli EKS - Cluster per il tuo caso d'uso, quindi scegli Next (Successivo).

  6. Nella scheda Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).

  7. Per Role name (Nome ruolo), inserisci un nome univoco per il ruolo, ad esempio eksClusterRole.

  8. Per Description (Descrizione), inserisci un testo descrittivo come Amazon EKS - Cluster role.

  9. Scegliere Create role (Crea ruolo).

AWS CLI
  1. Copiare i seguenti contenuti in un file denominato cluster-trust-policy.json.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Creare il ruolo. Puoi sostituire eksClusterRole con un nome a tua scelta.

    aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
  3. Allega la policy IAM richiesta al ruolo.

    aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole