Políticas do IAM - Guia do usuário do Eksctl
Políticas complementares do IAM compatíveisAdicionar uma função de instância personalizadaAnexando políticas em linhaAnexando políticas pelo ARN

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do IAM

Você pode anexar funções de instância a grupos de nós. As cargas de trabalho em execução no nó receberão permissões do IAM do nó. Para obter mais informações, consulte Funções do IAM para a Amazon EC2.

Esta página lista os modelos predefinidos de políticas do IAM disponíveis em eksctl. Esses modelos simplificam o processo de conceder aos nós do EKS as permissões apropriadas do serviço da AWS sem precisar criar manualmente políticas personalizadas do IAM.

Políticas complementares do IAM compatíveis

Exemplo de todas as políticas complementares suportadas:

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Política do Image Builder

A imageBuilder política permite acesso total ao ECR (Elastic Container Registry). Isso é útil para criar, por exemplo, um servidor de CI que precisa enviar imagens para o ECR.

Política do EBS

A ebs política ativa o novo driver EBS CSI (Elastic Block Store Container Storage Interface).

Política do Cert Manager

A certManager política permite adicionar registros ao Route 53 para resolver o desafio do DNS01. Mais informações podem ser encontradas aqui.

Adicionar uma função de instância personalizada

Este exemplo cria um grupo de nós que reutiliza uma função de instância do IAM existente de outro cluster:

apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

Anexando políticas em linha

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

Anexando políticas pelo ARN

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
Atenção

Se um grupo de nós incluir oattachPolicyARNs, ele também deverá incluir as políticas de nós padrãoAmazonEKSWorkerNodePolicy, como AmazonEKS_CNI_Policy e AmazonEC2ContainerRegistryReadOnly neste exemplo.