Ruolo IAM del cluster Amazon EKS
I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate ad altri servizi AWS per tuo conto per gestire le risorse utilizzate con il servizio. Prima di poter creare cluster Amazon EKS, è necessario creare un ruolo IAM con le seguenti policy IAM:
Prima del 16 aprile 2020, era richiesto anche AmazonEKSServicePolicyeksServiceRole
. Con il ruolo AWSServiceRoleForAmazonEKS
collegato ai servizi, tale policy non è più necessaria per i cluster creati a partire dal 16 aprile 2020.
Verificare la presenza di un ruolo del cluster esistente
Per verificare se l'account dispone già di un ruolo del cluster Amazon EKS, utilizzare la procedura indicata di seguito.
Per verificare la presenza di eksClusterRole
nella console IAM
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel riquadro di navigazione a sinistra seleziona Ruoli.
-
Cercare l'elenco dei ruoli per
eksClusterRole
. Se un ruolo che includeeksClusterRole
non esiste, consultare Creazione del ruolo del cluster Amazon EKS per creare il ruolo. Se un ruolo che includeeksClusterRole
esiste, selezionare il ruolo per visualizzare le policy allegate. -
Selezionare Autorizzazioni.
-
Assicurarsi che la policy gestita AmazonEKSClusterPolicy sia allegata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.
-
Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).
-
Verifica che la relazione di trust includa la seguente policy. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Edit trust policy (Modifica policy di attendibilità) e scegli Update policy (Aggiorna policy).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Creazione del ruolo del cluster Amazon EKS
Per creare un ruolo cluster, è possibile utilizzare la AWS Management Console o la AWS CLI.