Perfil do IAM do cluster do Modo Automático do Amazon EKS - Amazon EKS
Verificar se há uma função de cluster existenteCriar uma função para o cluster do Amazon EKS

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Perfil do IAM do cluster do Modo Automático do Amazon EKS

É necessário um perfil do IAM de cluster do Amazon EKS para cada cluster. Os clusters do Kubernetes gerenciados pelo Amazon EKS usam esse perfil para automatizar tarefas de rotina de armazenamento, rede e ajuste de escala automático de computação.

Antes de criar clusters do Amazon EKS, é necessário criar um perfil do IAM com as políticas necessárias a seguir do Modo Automático do EKS. Você pode anexar as políticas gerenciadas pelo AWS IAM sugeridas ou criar políticas personalizadas com permissões equivalentes.

Verificar se há uma função de cluster existente

É possível usar o procedimento a seguir para verificar se a conta já tem a função do cluster do Amazon EKS.

  1. Abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Funções.

  3. Pesquise AmazonEKSAutoClusterRole na lista de perfis. Se um perfil que inclua AmazonEKSAutoClusterRole não existir, consulte as instruções na próxima seção para criar o perfil. Se houver uma função que inclua AmazonEKSAutoClusterRole, selecione-a para visualizar as políticas anexadas.

  4. Escolha Permissões.

  5. Verifique se a política gerenciada AmazonEKSClusterPolicy está anexada à função. Se a política estiver anexada, a função do cluster do Amazon EKS estará configurada corretamente.

  6. Escolha Trust relationships (Relacionamentos de confiança) e, em seguida, escolha Edit trust policy (Editar política de confiança).

  7. Verifique se o relacionamento de confiança contém a seguinte política: Se o relacionamento de confiança corresponder à seguinte política, escolha Cancel (Cancelar). Se o relacionamento de confiança não corresponder, copie a política para a janela Edit trust policy (Editar política de confiança) e escolha Update policy (Atualizar política).

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
nota

A AWS não exige o nome AmazonEKSAutoClusterRole para esse perfil.

Criar uma função para o cluster do Amazon EKS

Você pode usar o AWS Management Console ou a CLI AWS para criar o perfil de cluster.

AWS Management Console

  1. Abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Escolha Roles (Funções) e, em seguida, Create Role (Criar função).

  3. Em Tipo de entidade confiável, selecione Serviço da AWS.

  4. Na lista suspensa Casos de uso para outros serviços AWS, escolha EKS.

  5. Escolha EKS - Cluster para o caso de uso e escolha Next (Próximo).

  6. Na guia Adicionar permissões, selecione as políticas e escolha Próximo.

  7. Em Role name (Nome da função), insira um nome exclusivo para a função, como AmazonEKSAutoClusterRole.

  8. Em Description (Descrição), insira um texto descritivo, como Amazon EKS - Cluster role.

  9. Selecione Criar perfil.

AWS CLI

  1. Copie o conteúdo a seguir em um arquivo chamado cluster-trust-policy.json.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}

  2. Crie a função. Você pode substituir AmazonEKSAutoClusterRole por qualquer nome que desejar.

    aws iam create-role \
  --role-name AmazonEKSAutoClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

  3. Anexe as políticas do IAM necessárias ao perfil:

AmazonEKSClusterPolicy:

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy

AmazonEKSComputePolicy:

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSComputePolicy

AmazonEKSBlockStoragePolicy:

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSBlockStoragePolicy

AmazonEKSLoadBalancingPolicy:

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSLoadBalancingPolicy

AmazonEKSNetworkingPolicy:

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSNetworkingPolicy