Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Más información sobre las identidades y el acceso en el modo automático de EKS

PDF
RSS
Modo de enfoque
Más información sobre las identidades y el acceso en el modo automático de EKS - Amazon EKS
Rol de IAM de clústerRol de IAM de nodoRol vinculado a serviciosEtiquetas personalizadas de AWS para los recursos del modo automático de EKSReferencia de política de acceso

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

En este tema se describen los roles y permisos de Identity and Access Management (IAM) que se necesitan para utilizar el modo automático de EKS. El modo automático de EKS utiliza dos roles de IAM principales: un rol de IAM de clúster y un rol de IAM del nodo. Estos roles funcionan conjuntamente con EKS Pod Identity y las entradas de acceso de EKS para proporcionar una administración de acceso completa para los clústeres de EKS.

Al configurar el modo automático de EKS, deberá establecer estos roles de IAM con permisos específicos que permitan a los servicios de AWS interactuar con los recursos del clúster. Esto incluye permisos para administrar recursos de computación, volúmenes de almacenamiento, equilibradores de carga y componentes de red. Comprender estas configuraciones de roles resulta esencial para el correcto funcionamiento y la seguridad del clúster.

En el modo automático de EKS, los roles de AWS IAM se asignan automáticamente a los permisos de Kubernetes a través de las entradas de acceso de EKS, por lo que no es necesario configurar manualmente ConfigMaps aws-auth ni vínculos personalizados. Al crear un nuevo clúster en modo automático, EKS crea automáticamente los permisos de Kubernetes correspondientes mediante entradas de acceso, lo que garantiza que los servicios de AWS y los componentes del clúster cuenten con los niveles de acceso adecuados en los sistemas de autorización de AWS y Kubernetes. Esta integración automatizada reduce la complejidad de la configuración y ayuda a evitar los problemas relacionados con los permisos que se producen por lo general al administrar clústeres de EKS.

Rol de IAM de clúster

El rol de IAM del clúster es un rol de AWS Identity and Access Management (IAM) que Amazon EKS utiliza para administrar los permisos de los clústeres de Kubernetes. Este rol concede a Amazon EKS los permisos necesarios para interactuar con otros servicios de AWS en nombre del clúster y se configura automáticamente con los permisos de Kubernetes mediante las entradas de acceso de EKS.

  • Debe asociar las políticas de AWS IAM a este rol.

  • El modo automático de EKS asigna permisos de Kubernetes a este rol automáticamente mediante entradas de acceso de EKS.

  • Con el modo automático de EKS, AWS sugiere crear un único rol de IAM de clúster por cuenta de AWS.

  • AWS sugiere asignar el nombre AmazonEKSAutoClusterRole a este rol.

  • Este rol requiere permisos para varios servicios de AWS para administrar recursos, incluidos volúmenes de EBS, equilibradores de carga elásticos e instancias de EC2.

  • La configuración sugerida para este rol incluye múltiples políticas de IAM administradas de AWS, relacionadas con las diferentes capacidades del modo automático de EKS.

    • AmazonEKSComputePolicy

    • AmazonEKSBlockStoragePolicy

    • AmazonEKSLoadBalancingPolicy

    • AmazonEKSNetworkingPolicy

    • AmazonEKSClusterPolicy

Para obtener más información sobre el rol de IAM de clúster y las políticas de IAM administradas por AWS, consulte:

Para obtener más información sobre el acceso a Kubernetes, consulte:

Rol de IAM de nodo

El rol de IAM del nodo es un rol de AWS Identity and Access Management (IAM) utilizado por Amazon EKS para administrar los permisos de los nodos de trabajo en los clústeres de Kubernetes. Este rol concede a las instancias de EC2 que se ejecutan como nodos de Kubernetes los permisos necesarios para interactuar con servicios y recursos de AWS, y se configura automáticamente con permisos RBAC de Kubernetes mediante entradas de acceso de EKS.

  • Debe asociar las políticas de AWS IAM a este rol.

  • El modo automático de EKS asigna permisos de RBAC de Kubernetes a este rol automáticamente mediante entradas de acceso de EKS.

  • AWS sugiere asignar el nombre AmazonEKSAutoNodeRole a este rol.

  • Con el modo automático de EKS, AWS sugiere crear un único rol de IAM del nodo por cuenta de AWS.

  • Este rol tiene permisos limitados. Los permisos clave incluyen asumir un rol de Pod Identity y extraer imágenes de ECR.

  • AWS sugiere las siguientes políticas de IAM administradas por AWS:

    • AmazonEKSWorkerNodeMinimalPolicy

    • AmazonEC2ContainerRegistryPullOnly

Para obtener más información sobre el rol de IAM de clúster y las políticas de IAM administradas por AWS, consulte:

Para obtener más información sobre el acceso a Kubernetes, consulte:

Rol vinculado a servicios

Amazon EKS utiliza un rol vinculado al servicio (SLR) para determinadas operaciones. Un rol vinculado a servicios es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon EKS. Los roles vinculados a servicios se encuentran predefinidos por Amazon EKS e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

AWS crea y configura automáticamente el SLR. Solo puede eliminar un SLR después de haber eliminado primero sus recursos relacionados. De esta forma, se protegen los recursos de Amazon EKS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

La política del SLR concede a Amazon EKS permisos para observar y eliminar componentes básicos de la infraestructura: recursos de EC2 (instancias, interfaces de red, grupos de seguridad), recursos de ELB (equilibradores de carga, grupos de destino), capacidades de CloudWatch (registro y métricas) y roles de IAM con prefijo “eks”. También permite la conexión en red de puntos de conexión privados mediante la asociación de VPC/zonas alojadas e incluye permisos para la supervisión de EventBridge y la limpieza de recursos etiquetados con EKS.

Para obtener más información, consulte:

Etiquetas personalizadas de AWS para los recursos del modo automático de EKS

De forma predeterminada, las políticas administradas relacionadas con el modo automático de EKS no permiten aplicar etiquetas definidas por el usuario a los recursos de AWS aprovisionados en modo automático. Si desea aplicar etiquetas definidas por el usuario a los recursos de AWS, debe asociar permisos adicionales al rol de IAM del clúster con permisos suficientes para crear y modificar etiquetas en los recursos de AWS. A continuación, aparece un ejemplo de política que permitirá el acceso sin restricciones al etiquetado:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Compute",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateFleet",
                "ec2:RunInstances",
                "ec2:CreateLaunchTemplate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                },
                "StringLike": {
                    "aws:RequestTag/eks:kubernetes-node-class-name": "*",
                    "aws:RequestTag/eks:kubernetes-node-pool-name": "*"
                }
            }
        },
        {
            "Sid": "Storage",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVolume",
                "ec2:CreateSnapshot"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*:*:snapshot/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        },
        {
            "Sid": "Networking",
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterface",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                },
                "StringLike": {
                    "aws:RequestTag/eks:kubernetes-cni-node-name": "*"
                }
            }
        },
        {
            "Sid": "LoadBalancer",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:CreateLoadBalancer",
                "elasticloadbalancing:CreateTargetGroup",
                "elasticloadbalancing:CreateListener",
                "elasticloadbalancing:CreateRule",
                "ec2:CreateSecurityGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        },
        {
            "Sid": "ShieldProtection",
            "Effect": "Allow",
            "Action": [
                "shield:CreateProtection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        },
        {
            "Sid": "ShieldTagResource",
            "Effect": "Allow",
            "Action": [
                "shield:TagResource"
            ],
            "Resource": "arn:aws:shield::*:protection/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        }
    ]
}

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Compute",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateFleet",
                "ec2:RunInstances",
                "ec2:CreateLaunchTemplate"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                },
                "StringLike": {
                    "aws:RequestTag/eks:kubernetes-node-class-name": "*",
                    "aws:RequestTag/eks:kubernetes-node-pool-name": "*"
                }
            }
        },
        {
            "Sid": "Storage",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVolume",
                "ec2:CreateSnapshot"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*:*:snapshot/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        },
        {
            "Sid": "Networking",
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterface",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                },
                "StringLike": {
                    "aws:RequestTag/eks:kubernetes-cni-node-name": "*"
                }
            }
        },
        {
            "Sid": "LoadBalancer",
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:CreateLoadBalancer",
                "elasticloadbalancing:CreateTargetGroup",
                "elasticloadbalancing:CreateListener",
                "elasticloadbalancing:CreateRule",
                "ec2:CreateSecurityGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        },
        {
            "Sid": "ShieldProtection",
            "Effect": "Allow",
            "Action": [
                "shield:CreateProtection"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        },
        {
            "Sid": "ShieldTagResource",
            "Effect": "Allow",
            "Action": [
                "shield:TagResource"
            ],
            "Resource": "arn:aws:shield::*:protection/*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
                }
            }
        }
    ]
}

Referencia de política de acceso

Para obtener más información sobre los permisos de Kubernetes utilizados por el modo automático de EKS, consulte Revisión de los permisos de la política de acceso.

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.