Ajudar a melhorar esta página
Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.
Perfil do IAM do nó do Modo Automático do Amazon EKS
nota
Não é possível usar a mesma função usada para criar clusters.
Antes de criar os nós, é necessário criar um perfil do IAM com as seguintes políticas, ou permissões equivalentes:
Verificar se há uma função existente do nó
Use o procedimento a seguir para verificar se a conta já tem a função de nó do Amazon EKS.
-
Abra o console do IAM, em https://console.aws.amazon.com/iam/
. -
No painel de navegação à esquerda, escolha Funções.
-
Pesquise
AmazonEKSAutoNodeRolena lista de perfis. Se não houver um perfil com um desses nomes, consulte as instruções na próxima seção para criar o perfil. Se houver uma função que contenhaAmazonEKSAutoNodeRole, selecione a função para visualizar as políticas anexadas. -
Escolha Permissões.
-
Certifique-se de que as políticas necessárias acima estejam anexadas, ou políticas personalizadas equivalentes.
-
Escolha Trust relationships (Relacionamentos de confiança) e, em seguida, escolha Edit trust policy (Editar política de confiança).
-
Verifique se o relacionamento de confiança contém a seguinte política: Se o relacionamento de confiança corresponder à seguinte política, escolha Cancel (Cancelar). Se o relacionamento de confiança não corresponder, copie a política para a janela Edit trust policy (Editar política de confiança) e escolha Update policy (Atualizar política).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Criação de uma função para a função do IAM de nó do Amazon EKS
Você pode criar o perfil IAM do nó com o AWS Management Console ou com a CLI AWS.
AWS Management Console
-
Abra o console do IAM, em https://console.aws.amazon.com/iam/
. -
No painel de navegação à esquerda, escolha Funções.
-
Na página Roles (Funções), selecione Create role (Criar função).
-
Na página Select trusted entity (Selecionar entidade confiável), faça o seguinte:
-
Na seção Tipo de entidade confiável), escolha Service da AWS.
-
Em Use case (Caso de uso), selecione EC2.
-
Escolha Próximo.
-
-
Na página Adicionar permissões, anexe as seguintes políticas:
-
Na página Name, review, and create (Nomear, revisar e criar), faça o seguinte:
-
Em Role name (Nome da função), insira um nome exclusivo para a função, como
AmazonEKSAutoNodeRole. -
Em Description (Descrição), substitua o texto atual por um texto descritivo como
Amazon EKS - Node role. -
Em Adicionar tags (Opcional), adicione metadados ao perfil anexando tags como pares chave-valor. Para obter mais informações sobre o uso de tags no IAM, consulte Marcar recursos do IAM no Guia do usuário do IAM.
-
Selecione Criar perfil.
-
AWS CLI
Criar o perfil do IAM do nó
Use o arquivo node-trust-policy.json da etapa anterior para definir quais entidades podem assumir o perfil. Execute o seguinte comando para criar o perfil do IAM do nó:
aws iam create-role \
--role-name AmazonEKSAutoNodeRole \
--assume-role-policy-document file://node-trust-policy.json
Registrar o ARN do perfil
Depois de criar o perfil, recupere e salve o ARN do perfil do IAM do nó. Você precisará desse ARN nas etapas subsequentes. Use o seguinte comando para obter o ARN:
aws iam get-role --role-name AmazonEKSAutoNodeRole --query "Role.Arn" --output text
Anexar as políticas obrigatórias
Anexe as seguintes políticas gerenciadas pela AWS ao perfil do IAM do nó para fornecer as permissões necessárias:
Para anexar a política AmazonEKSWorkerNodeMinimalPolicy:
aws iam attach-role-policy \
--role-name AmazonEKSAutoNodeRole \
--policy-arn arn:aws:iam::aws:policy/AmazonEKSWorkerNodeMinimalPolicy
Para anexar a política AmazonEC2ContainerRegistryPullOnly:
aws iam attach-role-policy \
--role-name AmazonEKSAutoNodeRole \
--policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
