Amazon EKS
Guia do usuário

Função do IAM para o serviço do Amazon EKS

O Amazon EKS faz chamadas para outros serviços da AWS em seu nome para gerenciar os recursos utilizados com o serviço. Para que você possa usar o serviço, é necessário criar uma função do IAM com as seguintes políticas do IAM:

Verificar se há uma função AWSServiceRoleForAmazonEKS existente

Você pode usar o procedimento a seguir para verificar e saber se a conta já tem a função de serviço do Amazon EKS.

Para verificar AWSServiceRoleForAmazonEKS no console do IAM

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, selecione Roles.

  3. Procure AWSServiceRoleForAmazonEKS na lista de funções. Se a função não existir, consulte Criar a função AWSServiceRoleForAmazonEKS para criar a função. Se a função existir, selecione-a para visualizar as políticas anexadas.

  4. Escolha Permissions.

  5. Verifique se as políticas gerenciadas AmazonEKSServicePolicy e AmazonEKSClusterPolicy estão anexadas à função. Se as políticas estão anexadas, a função de serviço do Amazon EKS está configurada corretamente.

  6. Selecione Trust Relationships (Relações de confiança) e Edit Trust Relationship (Editar relações de confiança).

  7. Verifique se o relacionamento de confiança contém a seguinte política. Se o relacionamento de confiança corresponder à política abaixo, escolha Cancel. Se a relação de confiança não corresponde, copie a política na janela Policy Document (Documento da política) e selecione Update Trust Policy (Atualizar política de confiança).

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Criar a função AWSServiceRoleForAmazonEKS

Você pode usar o procedimento a seguir para criar a função de serviço do Amazon EKS se você ainda não tem uma para sua conta.

Para criar uma função de serviço do Amazon EKS no console do IAM

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Roles (Funções) e, em seguida, Create Role (Criar função).

  3. Selecione EKS na lista de serviços, Allows Amazon EKS to manage your clusters on your behalf (Permite que o Amazon EKS gerencie os clusters em seu nome) para seu caso de uso e Next: Permissions (Próximo: permissões).

  4. Escolha Next: Tags (Próximo: tags).

  5. (Opcional) Adicione metadados à função anexando tags como pares de chave-valor. Para obter mais informações sobre como usar tags no IAM, consulte Marcar entidades do IAM no Guia do usuário do IAM.

  6. Selecione Next: Review.

  7. Em Role name (Nome da função), digite um nome exclusivo para a função, como eksServiceRole e, em seguida, escolha Create role (Criar função).

Para criar a função de serviço do Amazon EKS com o AWS CloudFormation

  1. Salve o modelo do AWS CloudFormation a seguir em um arquivo de texto no sistema local.

    --- AWSTemplateFormatVersion: '2010-09-09' Description: 'Amazon EKS Service Role' Resources: AWSServiceRoleForAmazonEKS: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Principal: Service: - eks.amazonaws.com Action: - sts:AssumeRole ManagedPolicyArns: - arn:aws:iam::aws:policy/AmazonEKSServicePolicy - arn:aws:iam::aws:policy/AmazonEKSClusterPolicy Outputs: RoleArn: Description: The role that EKS will use to create AWS resources for Kubernetes clusters Value: !GetAtt AWSServiceRoleForAmazonEKS.Arn Export: Name: !Sub "${AWS::StackName}-RoleArn"
  2. Abra o console do AWS CloudFormation em https://console.aws.amazon.com/cloudformation.

  3. Selecione Create stack.

  4. Em Choose a template (Escolher um modelo), selecione Upload a template to Amazon S3 (Carregar um modelo no Amazon S3) e, em seguida, selecione Browse (Procurar).

  5. Selecione o arquivo que você criou anteriormente e, em seguida, selecione Next (Próximo).

  6. Em Stack name (Nome da pilha), insira um nome para a função, como, por exemplo, eksServiceRole, e selecione Next (Próximo).

  7. Na página Options, selecione Next.

  8. Na página Review (Revisão), revise as informações, confirme se a pilha pode criar recursos do IAM e, em seguida, selecione Create (Criar).