Abilitare i ruoli IAM per gli account di servizio (IRSA) sul cluster EKS - Amazon EMR

Abilitare i ruoli IAM per gli account di servizio (IRSA) sul cluster EKS

La funzionalità dei ruoli IAM per gli account di servizio è disponibile per i nuovi cluster Amazon EKS con Kubernetes versione 1.14 e successiva e per i cluster EKS aggiornati alle versioni 1.13 o successiva dopo il 3 settembre 2019 incluso. Per poter utilizzare questa funzionalità, puoi aggiornare i cluster EKS esistenti alla versione 1.14 o successiva. Per ulteriori informazioni, consulta Aggiornamento di una versione Kubernetes del cluster Amazon EKS.

Se supporta i ruoli IAM per gli account di servizio, il cluster è associato a un URL dell'emittente OpenID Connect. Puoi visualizzare questo URL nella console Amazon EKS oppure utilizzare il seguente comando della AWS CLI per recuperarlo.

Importante

È necessario usare la versione più recente della AWS CLI per ricevere l'output corretto da questo comando.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

L'output previsto è il seguente:

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Per utilizzare i ruoli IAM per gli account di servizio nel cluster è necessario creare un provider di identità OIDC utilizzando eksctl o la AWS Management Console.

Creazione di un provider di identità IAM OIDC per il cluster con eksctl

Controlla la versione della eksctl con il comando seguente. Questa procedura presuppone che eksctl sia installato e che la versione di eksctl sia 0.32.0 o successiva.

eksctl version

Per ulteriori informazioni sull'installazione o sull'aggiornamento di eksctl, consulta Installazione o aggiornamento di eksctl.

Crea il provider di identità OIDC per il cluster con il comando seguente. Sostituisci cluster_name con il tuo valore.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Creazione di un provider di identità IAM OIDC per il cluster con la AWS Management Console

Recupera l'URL dell'emittente OIDC dalla descrizione della console Amazon EKS del cluster o utilizza il seguente comando della AWS CLI.

Utilizza il seguente comando per recuperare l'URL dell'emittente OIDC dalla AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Utilizza la seguente procedura per recuperare l'URL dell'emittente OIDC dalla console Amazon EKS.

  1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, scegli Identity Providers (Provider di identità), quindi seleziona Create Provider (Crea provider).

    1. Per Tipo di provider, seleziona Scegli un tipo di provider e quindi OpenID Connect.

    2. Per URL provider, incolla l'URL dell'emittente OIDC del cluster.

    3. Per Audience (Pubblico), digita sts.amazonaws.com e scegli Next Step (Fase successiva).

  3. Verifica che le informazioni del provider siano corrette, quindi seleziona Crea per creare il provider di identità.