Ruolo IAM del cluster Amazon EKS - Amazon EKS
Verificare la presenza di un ruolo del cluster esistenteCreazione del ruolo del cluster Amazon EKS

Ruolo IAM del cluster Amazon EKS

I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate ad altri servizi AWS per conto dell'utente per gestire le risorse utilizzate con il servizio. Prima di poter creare cluster Amazon EKS, è necessario creare un ruolo IAM con le seguenti policy IAM:

Nota

Prima del 16 aprile 2020, era richiesto anche AmazonEKSServicePolicy e il nome suggerito era eksServiceRole. Con il ruolo AWSServiceRoleForAmazonEKS collegato ai servizi, tale policy non è più necessaria per i cluster creati a partire dal 16 aprile 2020.

Verificare la presenza di un ruolo del cluster esistente

Per verificare se l'account dispone già di un ruolo del cluster Amazon EKS, utilizzare la procedura indicata di seguito.

Per verificare la presenza di eksClusterRole nella console IAM

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra seleziona Ruoli.

  3. Cercare l'elenco dei ruoli per eksClusterRole. Se un ruolo che include eksClusterRole non esiste, consultare Creazione del ruolo del cluster Amazon EKS per creare il ruolo. Se un ruolo che include eksClusterRole esiste, selezionare il ruolo per visualizzare le policy allegate.

  4. Selezionare Autorizzazioni.

  5. Assicurarsi che la policy gestita AmazonEKSClusterPolicy sia allegata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.

  6. Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).

  7. Verifica che la relazione di trust includa la seguente policy. Se la relazione di trust corrisponde alla policy sottostante, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Edit trust policy (Modifica policy di attendibilità) e scegli Update policy (Aggiorna policy).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Creazione del ruolo del cluster Amazon EKS

Per creare un ruolo cluster, è possibile utilizzare la console AWS Management Console o AWS CloudFormation. Selezionare la scheda con il nome dello strumento che si desidera utilizzare per creare il ruolo.

AWS Management Console

Creazione del ruolo del cluster Amazon EKS nella console IAM

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegliere Roles (Ruoli), quindi Create role (Crea ruolo).

  3. In Use case (Caso d'uso), scegli EKS dall'elenco dei servizi in Use cases for other AWS services (Casi d'uso per altri servizi AWS).

  4. Scegli EKS - Cluster per il tuo caso d'uso, quindi scegli Next (Successivo).

  5. Nella scheda Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).

  6. Per Nome ruolo, immettere un nome univoco per il ruolo, ad esempio eksClusterRole.

  7. Per Description (Descrizione), inserisci un testo descrittivo come Amazon EKS - Cluster role.

  8. Scegliere Create role (Crea ruolo).

AWS CloudFormation

Per creare il ruolo del cluster Amazon EKS con AWS CloudFormation

  1. Salvare il seguente modello AWS CloudFormation in un file di testo nel sistema locale.

    ---
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Amazon EKS Cluster Role'


Resources:

  eksClusterRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
        - Effect: Allow
          Principal:
            Service:
            - eks.amazonaws.com
          Action:
          - sts:AssumeRole
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonEKSClusterPolicy

Outputs:

  RoleArn:
    Description: The role that Amazon EKS will use to create AWS resources for Kubernetes clusters
    Value: !GetAtt eksClusterRole.Arn
    Export:
      Name: !Sub "${AWS::StackName}-RoleArn"
    Nota

    Prima del 16 aprile 2020, ManagedPolicyArns aveva una voce per arn:aws:iam::aws:policy/AmazonEKSServicePolicy. Con il ruolo collegato ai servizi AWSServiceRoleForAmazonEKS, tale policy non è più necessaria.

  2. Aprire la console di AWS CloudFormation all'indirizzo https://console.aws.amazon.com/cloudformation.

  3. Selezionare Crea pila.

  4. In Specify template (Specifica modello), selezionare Upload a template file (Carica un file di modello) e Choose file (Scegli file).

  5. Scegliere il file creato in precedenza, quindi selezionare Next (Successivo).

  6. Per Stack name (Nome pila), immettere un nome per il ruolo, ad esempio eksClusterRole, quindi scegliere Next (Successivo).

  7. Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).

  8. Nella pagina Revisione, esaminare le informazioni, accettare che la pila può creare risorse IAM, quindi scegliere Crea pila.