IAMRolle des EKS Amazon-Connectors - Amazon EKS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRolle des EKS Amazon-Connectors

Sie können eine Verbindung herstellen Kubernetes Cluster, um sie in Ihrem anzuzeigen AWS Management Console. Um eine Verbindung zu einem herzustellen Kubernetes Cluster, erstellen Sie eine IAM Rolle.

Suchen Sie nach einer vorhandenen EKS Connector-Rolle

Mithilfe des folgenden Verfahrens können Sie überprüfen, ob Ihr Konto bereits über die EKS Amazon-Connector-Rolle verfügt.

  1. Öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Suchen Sie in der Liste der Rollen nach AmazonEKSConnectorAgentRole. Wenn eine Rolle, die Folgendes beinhaltet, nicht AmazonEKSConnectorAgentRole existiert, finden Sie weitere Informationen unter Die Rolle des Amazon EKS Connector-Agenten erstellen Erstellen der Rolle. Wenn eine Rolle mit AmazonEKSConnectorAgentRole vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.

  4. Wählen Sie Permissions (Berechtigungen).

  5. Stellen Sie sicher, dass die mazonEKSConnectorAgentPolicyA-verwaltete Richtlinie der Rolle zugewiesen ist. Wenn die Richtlinie angehängt ist, ist Ihre EKS Amazon-Connector-Rolle ordnungsgemäß konfiguriert.

  6. Wählen Sie Trust Relationships (Vertrauensstellungen) und dann Edit trust policy (Vertrauensrichtlinie bearbeiten) aus.

  7. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Cancel (Abbrechen) aus. Wenn das Vertrauensverhältnis nicht übereinstimmt, kopieren Sie die Richtlinie in das Fenster Vertrauensrichtlinie bearbeiten und wählen Sie Richtlinie aktualisieren.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

Die Rolle des Amazon EKS Connector-Agenten erstellen

Sie können das AWS Management Console oder verwenden AWS CloudFormation , um die Connector-Agent-Rolle zu erstellen.

AWS CLI
  1. Erstellen Sie eine Datei mit dem Nameneks-connector-agent-trust-policy.json, die Folgendes enthältJSON, um sie für die IAM Rolle zu verwenden.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "ssm.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
  2. Erstellen Sie eine Datei mit dem Nameneks-connector-agent-policy.json, die Folgendes enthältJSON, um sie für die IAM Rolle zu verwenden.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "SsmControlChannel", "Effect": "Allow", "Action": [ "ssmmessages:CreateControlChannel" ], "Resource": "arn:aws: eks:*:*:cluster/*" }, { "Sid": "ssmDataplaneOperations", "Effect": "Allow", "Action": [ "ssmmessages:CreateDataChannel", "ssmmessages:OpenDataChannel", "ssmmessages:OpenControlChannel" ], "Resource": "*" } ] }
  3. Erstellen Sie die Amazon EKS Connector-Agentenrolle mithilfe der Vertrauensrichtlinie und der Richtlinie, die Sie in den vorherigen Listenelementen erstellt haben.

    aws iam create-role \ --role-name AmazonEKSConnectorAgentRole \ --assume-role-policy-document file://eks-connector-agent-trust-policy.json
  4. Fügen Sie die Richtlinie Ihrer Amazon EKS Connector-Agentenrolle bei.

    aws iam put-role-policy \ --role-name AmazonEKSConnectorAgentRole \ --policy-name AmazonEKSConnectorAgentPolicy \ --policy-document file://eks-connector-agent-policy.json
AWS CloudFormation
  1. Speichern Sie die folgende AWS CloudFormation Vorlage in einer Textdatei auf Ihrem lokalen System.

    Anmerkung

    Mit dieser Vorlage wird auch die dienstbezogene Rolle erstellt, die andernfalls beim Aufruf von erstellt würde. registerCluster API Details dazu finden Sie unter Verwenden von Rollen zum Verbinden von Kubernetes Cluster zu Amazon EKS.

    --- AWSTemplateFormatVersion: '2010-09-09' Description: 'Provisions necessary resources needed to register clusters in EKS' Parameters: {} Resources: EKSConnectorSLR: Type: AWS::IAM::ServiceLinkedRole Properties: AWSServiceName: eks-connector.amazonaws.com EKSConnectorAgentRole: Type: AWS::IAM::Role Properties: AssumeRolePolicyDocument: Version: '2012-10-17' Statement: - Effect: Allow Action: [ 'sts:AssumeRole' ] Principal: Service: 'ssm.amazonaws.com' EKSConnectorAgentPolicy: Type: AWS::IAM::Policy Properties: PolicyName: EKSConnectorAgentPolicy Roles: - {Ref: 'EKSConnectorAgentRole'} PolicyDocument: Version: '2012-10-17' Statement: - Effect: 'Allow' Action: [ 'ssmmessages:CreateControlChannel' ] Resource: - Fn::Sub: 'arn:${AWS::Partition}:eks:*:*:cluster/*' - Effect: 'Allow' Action: [ 'ssmmessages:CreateDataChannel', 'ssmmessages:OpenDataChannel', 'ssmmessages:OpenControlChannel' ] Resource: "*" Outputs: EKSConnectorAgentRoleArn: Description: The agent role that EKS connector uses to communicate with AWS services. Value: !GetAtt EKSConnectorAgentRole.Arn
  2. Öffnen Sie die AWS CloudFormation Konsole.

  3. Wählen Sie Stack mit neuen Ressourcen erstellen (Standard).

  4. Wählen Sie für Specify template (Vorlage festlegen) Upload a template file (Vorlagendatei hochladen) aus und wählen Sie dann Choose file (Datei wählen).

  5. Wählen Sie die zuvor erstellte Datei und klicken Sie dann auf Next (Weiter).

  6. Geben Sie für Stack name (Stack-Name) einen Namen für Ihre Rolle ein, wie z. B. eksConnectorAgentRole. Klicken Sie dann auf Next (Weiter).

  7. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  8. Überprüfen Sie auf der Seite Überprüfen Ihre Informationen, bestätigen Sie, dass der Stapel möglicherweise IAM Ressourcen erstellt, und wählen Sie dann Stapel erstellen aus.