Rol de IAM del clúster de Amazon EKS - Amazon EKS
Comprobar si existe un rol de clúster existenteCrear el rol de clúster de Amazon EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Rol de IAM del clúster de Amazon EKS

Se requiere un rol de IAM del clúster de Amazon EKS para cada clúster. Los clústeres de Kubernetes administrados por Amazon EKS utilizan este rol para administrar los nodos y el proveedor de nube heredado lo emplea para crear equilibradores de carga con Elastic Load Balancing para los servicios.

Para poder crear clústeres de Amazon EKS, debe crear un rol de IAM con una de las siguientes políticas de IAM:

  • AmazonEKSClusterPolicy

  • Una política de IAM personalizada. Los permisos mínimos que aparecen a continuación permiten que el clúster de Kubernetes administre los nodos, pero no que el proveedor de nube heredado cree equilibradores de carga con Elastic Load Balancing. La política de IAM personalizada debe disponer al menos de los siguientes permisos:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
nota

Antes del 3 de octubre de 2023, se requería AmazonEKSClusterPolicy en el rol de IAM de cada clúster.

Antes del 16 de abril de 2020, se requería AmazonEKSServicePolicy y AmazonEKSClusterPolicy y el nombre sugerido era eksServiceRole. Con el rol vinculado a servicios de AWSServiceRoleForAmazonEKS, la política AmazonEKSServicePolicy ya no es necesaria para clústeres creados a partir del 16 de abril de 2020.

Comprobar si existe un rol de clúster existente

Puede utilizar el siguiente procedimiento para verificar y conocer si la cuenta ya dispone del rol de clúster de Amazon EKS.

Para verificar el eksClusterRole en la consola de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación izquierdo, seleccione Roles.

  3. En la lista de roles, busque eksClusterRole. Si no existe un rol que incluya eksClusterRole, consulte Crear el rol de clúster de Amazon EKS para crearlo. Si existe un rol que incluye eksClusterRole, seleccione el rol para ver las políticas asociadas.

  4. Elija Permissions.

  5. Asegúrese de que la política administrada AmazonEKSClusterPolicyse ha asociado al rol. Si la política se ha adjuntado, entonces el rol de clúster de Amazon EKS se ha configurado correctamente.

  6. Elija Trust relationships (Relaciones de confianza) y, a continuación, Edit trust policy (Editar política de confianza).

  7. Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política a continuación, seleccione Cancelar. Si la relación de confianza no coincide, copie la política en la ventana Editar política de confianza y elija Actualizar política. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Crear el rol de clúster de Amazon EKS

Para crear el rol de clúster, puede utilizar la AWS Management Console o AWS CLI.

AWS Management Console
Para crear el rol de clúster de Amazon EKS en la consola de IAM

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Elija Roles y, a continuación, Create role (Crear rol).

  3. En Tipo de entidad de confianza, seleccione Servicio de AWS.

  4. En la lista desplegable Casos de uso para otros Servicios de AWS, elija EKS.

  5. Elija EKS: clúster para su caso de uso y, luego, elija Siguiente.

  6. En la pestaña Agregar permisos, seleccione Siguiente.

  7. En Nombre del rol, ingrese un nombre único para su rol, por ejemplo, eksClusterRole.

  8. En Description (Descripción), ingrese texto descriptivo, como Amazon EKS - Cluster role.

  9. Elija Crear rol.

AWS CLI

  1. Copie el siguiente contenido en un archivo denominado cluster-trust-policy.json. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Cree el rol. Puede reemplazar eksClusterRole con el nombre que usted elija.

    aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

  3. Adjunte la política de IAM necesaria al rol de IAM

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole