Ruolo IAM del cluster Amazon EKS - Amazon EKS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo IAM del cluster Amazon EKS

Il ruolo IAM del cluster Amazon EKS è richiesto per ciascun cluster. I cluster Kubernetes gestiti da Amazon EKS utilizzano questo ruolo per gestire i nodi e il Provider cloud legacy utilizza questo ruolo per creare sistemi di bilanciamento del carico con Elastic Load Balancing per i servizi.

Prima di poter creare cluster Amazon EKS, devi creare un ruolo IAM con una delle seguenti policy IAM:

  • AmazonEKSClusterPolicy

  • Una policy IAM personalizzata. Le autorizzazioni minime che seguono consentono al cluster Kubernetes di gestire i nodi, ma non consentono al Provider cloud legacy di creare sistemi di bilanciamento del carico con Elastic Load Balancing. La tua policy IAM personalizzata deve disporre almeno delle seguenti autorizzazioni:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "kms:DescribeKey" ], "Resource": "*" } ] }
Nota

Prima del 3 ottobre 2023, ClusterPolicyAmazonEks aveva bisogno del ruolo IAM per ogni cluster.

Prima del 16 aprile 2020, era richiesto anche ServicePolicyAmazonEks e il nome suggerito lo era. eksServiceRole Con il ruolo AWSServiceRoleForAmazonEKS collegato ai servizi, tale policy non è più necessaria per i cluster creati a partire dal 16 aprile 2020.

Verifica della presenza di un ruolo del cluster esistente

Per verificare se l'account dispone già di un ruolo del cluster Amazon EKS, utilizzare la procedura indicata di seguito.

Per verificare la presenza di eksClusterRole nella console IAM
  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Cerca l'elenco dei ruoli per eksClusterRole. Se un ruolo che include eksClusterRole non esiste, consulta Creazione del ruolo del cluster Amazon EKS per crearlo. Se un ruolo che include eksClusterRole esiste, seleziona il ruolo per visualizzare le policy allegate.

  4. Selezionare Autorizzazioni.

  5. Assicurati che la policy gestita da ClusterPolicy AmazonEks sia associata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.

  6. Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).

  7. Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Modifica policy di attendibilità e scegli Aggiorna policy.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Creazione del ruolo del cluster Amazon EKS

Per creare un ruolo cluster, è possibile utilizzare la AWS Management Console o la AWS CLI.

AWS Management Console
Creazione del ruolo del cluster Amazon EKS nella console IAM
  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegli Ruoli, quindi Crea ruolo.

  3. In Trusted entity type (Tipo di entità attendibile), scegli AWS service (Servizio ).

  4. Nell'elenco a discesa Casi d'uso per altri Servizi AWS, scegli EKS.

  5. Scegli EKS - Cluster per il tuo caso d'uso, quindi scegli Next (Successivo).

  6. Nella scheda Aggiungi autorizzazioni, scegli Successivo.

  7. Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio eksClusterRole.

  8. Per Description (Descrizione), inserisci un testo descrittivo come Amazon EKS - Cluster role.

  9. Scegli Crea ruolo.

AWS CLI
  1. Copiare i seguenti contenuti in un file denominato cluster-trust-policy.json.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Crea il ruolo. Puoi sostituire eksClusterRole con un nome a tua scelta.

    aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
  3. Allega la policy IAM richiesta al ruolo.

    aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole