Abilitare i ruoli IAM per gli account di servizio (IRSA) sul cluster EKS - Amazon EMR

Abilitare i ruoli IAM per gli account di servizio (IRSA) sul cluster EKS

La caratteristica dei ruoli IAM per gli account di servizio è disponibile per i nuovi cluster Amazon EKS con Kubernetes versione 1.14 e successiva e per i cluster EKS aggiornati alle versioni 1.13 o successiva dopo il 3 settembre 2019 incluso. Per poter utilizzare questa funzionalità, puoi aggiornare i cluster EKS esistenti alla versione 1.14 o successiva. Per ulteriori informazioni, consulta Aggiornamento di una versione Kubernetes del cluster Amazon EKS.

Se supporta i ruoli IAM per gli account di servizio, il cluster è associato a un URL dell'emittente OpenID Connect. Puoi visualizzare questo URL nella console Amazon EKS oppure utilizzare il seguente comando della AWS CLI per recuperarlo.

Importante

È necessario usare la versione più recente della AWS CLI per ricevere l'output corretto da questo comando.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

L'output previsto è il seguente:

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Per utilizzare i ruoli IAM per gli account di servizio nel cluster è necessario creare un provider di identità OIDC utilizzando eksctl o la AWS Management Console.

Creazione di un provider di identità IAM OIDC per il cluster con eksctl

Controllare la versione della eksctl con il seguente comando. Questa procedura presuppone che eksctl sia installato e che la versione di eksctl sia 0.32.0 o successiva.

eksctl version

Per ulteriori informazioni sull'installazione o sull'aggiornamento di eksctl, consulta Installazione o aggiornamento di eksctl.

Creare il provider di identità OIDC per il cluster con il comando seguente. Sostituisci cluster_name con il tuo valore.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Creazione di un provider di identità IAM OIDC per il cluster con la AWS Management Console

Recupera l'URL dell'emittente OIDC dalla descrizione della console Amazon EKS del cluster o utilizza il seguente comando della AWS CLI.

Utilizza il seguente comando per recuperare l'URL dell'emittente OIDC dalla AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Utilizza la seguente procedura per recuperare l'URL dell'emittente OIDC dalla console Amazon EKS.

  1. Apertura della scheda Configurations (Configurazioni)

  2. Nel pannello di navigazione, scegli Identity Providers (Provider di identità), quindi seleziona Create Provider (Crea provider).

    1. Per Provider Type (Tipo di provider), scegliere Choose a provider type (Scegli un tipo di provider), quindi selezionare OpenID Connect.

    2. Per Provider URL (URL provider), incollare l'URL dell'emittente OIDC per il cluster.

    3. Per Audience (Pubblico), digita sts.amazonaws.com e scegli Next Step (Fase successiva).

  3. Verificare che le informazioni del provider siano corrette, quindi scegliere Create (Crea) per creare il provider di identità.