本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EKS 叢集 IAM 角色
每個叢集都必須具備 Amazon EKS 叢集 IAM 角色。受 Amazon EKS 管理的 Kubernetes 叢集使用此角色來管理節點,而舊式雲端供應商
建立 Amazon EKS 叢集之前,您必須先建立具有以下任一 IAM 政策的 IAM 角色:
-
自訂 IAM 政策。以下是 Kubernetes 叢集可管理節點的最低許可,但無法讓舊式雲端供應商
建立具有 Elastic Load Balancing 的負載平衡器。您的自訂 IAM 政策必須至少擁有下列許可: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "kms:DescribeKey" ], "Resource": "*" } ] }
注意
在 2023 年 10 月 3 日之前,每個叢集的 IAM 角色ClusterPolicy都需要 AmazonEks。
在 2020 年 4 月 16 日之前,還需要 AmazonEKS,建議的名稱ServicePolicy是。eksServiceRole
使用 AWSServiceRoleForAmazonEKS
服務連結角色時,該政策不再需要針對 2020 年 4 月 16 日或之後建立的叢集。
檢查現有的叢集角色
您可使用以下程序,檢查您的帳戶是否已有 Amazon EKS 叢集角色。
在 IAM 主控台中檢查 eksClusterRole
開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在左側導覽窗格中,選擇 Roles (角色)。
-
搜尋
eksClusterRole
的角色清單。如果包含eksClusterRole
的角色不存在,請參閱 建立 Amazon EKS 叢集角色 以建立角色。如果包含eksClusterRole
的角色存在,請選取角色以檢視連接的政策。 -
選擇許可。
-
請確定已將 AmazonEks ClusterPolicy 管理政策附加至該角色。如果已連接政策,則您的 Amazon EKS 叢集角色應已設定妥當。
-
選擇 Trust Relationships (信任關係),然後選擇 Edit trust policy (編輯信任政策)。
-
確認信任關係包含下列政策。如果信任關係符合下列政策,請選擇 Cancel (取消)。如果信任關係不符合,請將政策複製到 Edit trust policy (編輯信任政策) 視窗中,然後選擇 Update policy (更新政策)。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
建立 Amazon EKS 叢集角色
您可以使用 AWS Management Console 或 AWS CLI 建立叢集角色。