**Unterstützung für die Verbesserung dieser Seite beitragen**
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Rolle für die Ausführung von Amazon-EKS-Pods
Die Amazon EKS Pod-Ausführungsrolle ist erforderlich, um Pods auf der AWS Fargate-Infrastruktur auszuführen.
Wenn Ihr Cluster Pods auf der AWS Fargate-Infrastruktur erstellt, müssen die Komponenten, die auf der Fargate-Infrastruktur ausgeführt werden, in AWS APIs Ihrem Namen Aufrufe tätigen. Auf diese Weise können sie Aktionen wie das Abrufen von Container-Images aus Amazon ECR oder das Weiterleiten von Protokollen an andere AWS Dienste ausführen. Die Amazon-EKS-Pod-Ausführungsrolle stellt die entsprechenden IAM-Berechtigungen bereit.
Wenn Sie ein Fargate-Profil erstellen, müssen Sie eine Pod-Ausführungsrolle für die Amazon-EKS-Komponenten angeben, die in der Fargate-Infrastruktur mit dem Profil ausgeführt werden. Diese Rolle wird zur Autorisierung der [Rollenbasierten Zugriffskontrolle](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) von Kubernetes des Clusters hinzugefügt. Auf diese Weise kann sich das `kubelet`, das in der Fargate-Infrastruktur ausgeführt wird, bei Ihrem Amazon-EKS-Cluster registrieren, sodass es als Knoten in Ihrem Cluster angezeigt werden kann.
**Anmerkung**
Das Fargate-Profil muss eine andere IAM-Rolle haben als EC2 Amazon-Knotengruppen.
**Wichtig**
Die im Fargate-Pod ausgeführten Container können nicht die IAM-Berechtigungen annehmen, die einer Pod-Ausführungsrolle zugeordnet sind. Um den Containern in Ihrem Fargate-Pod Zugriff auf andere AWS Dienste zu gewähren, müssen Sie [IAM-Rollen für Dienstkonten](iam-roles-for-service-accounts.md) verwenden.
[Bevor Sie ein Fargate-Profil erstellen, müssen Sie eine IAM-Rolle bei Amazon erstellen. EKSFargate PodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html)
## Auf eine korrekt konfigurierte Pod-Ausführungsrolle prüfen
Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über eine korrekt konfigurierte Amazon-EKS-Pod-Ausführungsrolle verfügt. Um Sicherheitsprobleme durch verwirrte Stellvertreter zu vermeiden, ist es wichtig, dass die Rolle den Zugriff basierend auf `SourceArn` beschränkt. Sie können die Ausführungsrolle nach Bedarf ändern, um Fargate-Profile auch auf anderen Clustern zu unterstützen.
1. Öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Suchen Sie auf der Seite **Rollen** in der Liste der Rollen für **Amazon EKSFargate PodExecutionRole**. Wenn die Rolle nicht vorhanden ist, finden Sie unter [Erstellen der Amazon-EKS-Pod-Ausführungsrolle](#create-pod-execution-role) Informationen zum Erstellen der Rolle. Wenn die Rolle vorhanden ist, wählen Sie sie aus.
1. Gehen Sie auf der **EKSFargatePodExecutionRoleAmazon-Seite** wie folgt vor:
1. Wählen Sie **Berechtigungen**.
1. Stellen Sie sicher, dass die von **EKSFargatePodExecutionRolePolicyAmazon** verwaltete Richtlinie mit der Rolle verknüpft ist.
1. Wählen Sie **Trust Relationships (Vertrauensbeziehungen)** aus.
1. Wählen Sie **Edit trust policy** (Vertrauensrichtlinie bearbeiten) aus.
1. Prüfen Sie auf der Seite **Edit trust policy** (Vertrauensrichtlinie bearbeiten), dass die Vertrauensbeziehung die folgende Richtlinie und eine Zeile für Fargate-Profile in Ihrem Cluster enthält. Wenn ja, wählen Sie **Cancel** (Abbrechen) aus.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
}
},
"Principal": {
"Service": "eks-fargate-pods.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Wenn die Richtlinie übereinstimmt, aber keine Zeile mit den Fargate-Profilen in Ihrem Cluster enthält, können Sie die folgende Zeile oben im `ArnLike`-Objekt hinzufügen. *region-code*Ersetzen Sie es durch die AWS Region, in der sich Ihr Cluster befindet, *111122223333* durch Ihre Konto-ID und *my-cluster* durch den Namen Ihres Clusters.
```
"aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",
```
Wenn die Richtlinie nicht übereinstimmt, kopieren Sie die vollständige vorherige Richtlinie in das Formular und wählen Sie **Richtlinie aktualisieren** aus. *region-code*Ersetzen Sie durch die AWS Region, in der sich Ihr Cluster befindet. Wenn Sie dieselbe Rolle in allen AWS Regionen Ihres Kontos verwenden möchten, *region-code* ersetzen Sie es durch`*`. Ersetzen Sie *111122223333* durch Ihre Konto-ID und *my-cluster* durch den Namen Ihres Clusters. Wenn Sie dieselbe Rolle für alle Cluster in Ihrem Konto verwenden möchten, ersetzen Sie *my-cluster* durch `*`.
## Erstellen der Amazon-EKS-Pod-Ausführungsrolle
Wenn Sie noch nicht über die Amazon EKS-Pod-Ausführungsrolle für Ihren Cluster verfügen, können Sie die AWS-Managementkonsole oder die AWS CLI verwenden, um sie zu erstellen.
AWS-Managementkonsole
1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Klicken Sie auf der Seite **Roles (Rollen)** auf **Create role (Rolle erstellen)**.
1. Gehen Sie auf der Seite **Select trusted entity** (Vertrauenswürdige Entität auswählen) wie folgt vor:
1. Wählen Sie im Abschnitt **Vertrauenswürdiger Entitätstyp** die Option ** AWS Service** aus.
1. Wählen Sie aus der Dropdownliste **Anwendungsfälle für andere AWS Dienste** die Option **EKS** aus.
1. Wählen Sie **EKS – Fargate-Pod** aus.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die Option **Next** (Weiter) aus.
1. Gehen Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) wie folgt vor:
1. Geben Sie unter **Role name** (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. `AmazonEKSFargatePodExecutionRole`.
1. Fügen Sie der Rolle unter **Tags hinzufügen (optional)** Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter [Markieren von IAM-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) im *IAM-Benutzerhandbuch*.
1. Wählen Sie **Rolle erstellen** aus.
1. Suchen Sie auf der Seite **Rollen** in der Liste der Rollen für **Amazon EKSFargate PodExecutionRole**. Wählen Sie die Rolle aus.
1. Gehen Sie auf der **EKSFargatePodExecutionRoleAmazon-Seite** wie folgt vor:
1. Wählen Sie **Trust Relationships (Vertrauensbeziehungen)** aus.
1. Wählen Sie **Edit trust policy** (Vertrauensrichtlinie bearbeiten) aus.
1. Führen Sie auf der Seite **Edit trust policy** (Vertrauensrichtlinie bearbeiten) die folgenden Schritte aus:
1. Kopieren Sie die folgenden Inhalte in das Formular unter **Edit trust policy** (Vertrauensrichtlinie bearbeiten). *region-code*Ersetzen Sie es durch die AWS Region, in der sich Ihr Cluster befindet. Wenn Sie dieselbe Rolle in allen AWS Regionen Ihres Kontos verwenden möchten, *region-code* ersetzen Sie es durch`*`. Ersetzen Sie *111122223333* durch Ihre Konto-ID und *my-cluster* durch den Namen Ihres Clusters. Wenn Sie dieselbe Rolle für alle Cluster in Ihrem Konto verwenden möchten, ersetzen Sie *my-cluster* durch `*`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
}
},
"Principal": {
"Service": "eks-fargate-pods.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Wählen Sie **Update policy**.
AWS CLI
1. Kopieren Sie den folgenden Inhalt in eine Datei namens `pod-execution-role-trust-policy.json`. *region-code*Ersetzen Sie durch die AWS Region, in der sich Ihr Cluster befindet. Wenn Sie dieselbe Rolle in allen AWS Regionen Ihres Kontos verwenden möchten, *region-code* ersetzen Sie es durch`*`. Ersetzen Sie *111122223333* durch Ihre Konto-ID und *my-cluster* durch den Namen Ihres Clusters. Wenn Sie dieselbe Rolle für alle Cluster in Ihrem Konto verwenden möchten, ersetzen Sie *my-cluster* durch `*`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
}
},
"Principal": {
"Service": "eks-fargate-pods.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Erstellen Sie eine IAM-Rolle für die Pod-Ausführung.
```
aws iam create-role \
--role-name AmazonEKSFargatePodExecutionRole \
--assume-role-policy-document file://"pod-execution-role-trust-policy.json"
```
1. Hängen Sie die erforderliche von Amazon EKS verwaltete IAM-Richtlinie an die Rolle an.
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \
--role-name AmazonEKSFargatePodExecutionRole
```