Habilitação de perfis do IAM para contas de serviço (IRSA) no cluster do EKS - Amazon EMR
Para criar um provedor de identidade OIDC do IAM para o cluster com o eksctlPara criar um provedor de identidade IAM OIDC para seu cluster com o AWS Management Console

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitação de perfis do IAM para contas de serviço (IRSA) no cluster do EKS

O recurso de perfis do IAM para contas de serviço está disponível nas versões 1.14 e posteriores do Amazon EKS e para clusters do EKS atualizados para as versões 1.13 ou posteriores ou após 3 de setembro de 2019. Para usar esse recurso, é possível atualizar os clusters do EKS existentes para a versão 1.14 ou posterior. Para obter mais informações, consulte Atualizar uma versão do Kubernetes do cluster do Amazon EKS.

Se o seu cluster oferecer suporte para perfis do IAM para contas de serviço, ele terá um URL do emissor OpenID Connect associado a ele. Você pode visualizar essa URL no console do Amazon EKS ou usar o AWS CLI comando a seguir para recuperá-la.

Importante

Você deve usar a versão mais recente do AWS CLI para receber a saída adequada desse comando.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

A saída esperada é semelhante à apresentada a seguir.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Para usar perfis do IAM para contas de serviço em seu cluster, é necessário criar um provedor de identidades OIDC usando o eksctl ou o AWS Management Console.

Para criar um provedor de identidade OIDC do IAM para o cluster com o eksctl

Verifique a versão do eksctl com o comando a seguir. Este procedimento pressupõe que você instalou o eksctl e que a versão do eksctl seja 0.32.0 ou posterior.

eksctl version

Para obter mais informações sobre como instalar ou atualizar o eksctl, consulte Instalar ou atualizar o eksctl.

Crie o provedor de identidade OIDC para o cluster com o seguinte comando. Substitua cluster_name por seu próprio valor.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Para criar um provedor de identidade IAM OIDC para seu cluster com o AWS Management Console

Recupere a URL do emissor do OIDC na descrição do console Amazon EKS do seu cluster ou use o comando a seguir. AWS CLI

Use o comando apresentado a seguir para recuperar o URL do emissor OIDC da AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Use as etapas apresentadas a seguir para recuperar o URL do emissor OIDC do console do Amazon EKS.

  1. Abra o console IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Provedores de identidade e, em seguida, selecione Criar provedor.

    1. Para Tipo de provedor, escolha Escolher um tipo de provedor e escolha OpenID Connect.

    2. Em Provider URL (URL do provedor), cole o URL emissor OIDC do cluster.

    3. Para Público, digite sts.amazonaws.com e escolha Próxima etapa.

  3. Verifique se as informações do provedor estão corretas e escolha Create (Criar) para criar seu provedor de identidade.