Ayude a mejorar esta página
¿Quiere contribuir a esta guía del usuario? Elija el enlace Editar esta página en GitHub que se encuentra en el panel derecho de cada página. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.
Cómo preparar las credenciales para los nodos híbridos
Los Nodos híbridos de Amazon EKS utilizan credenciales de IAM temporales aprovisionadas por activaciones híbridas de AWS SSM o AWS IAM Roles Anywhere para autenticarse con el clúster de Amazon EKS. Debe usar activaciones híbridas de AWS SSM o AWS IAM Roles Anywhere con la CLI (nodeadm
) de los Nodos híbridos de Amazon EKS. No debe utilizar ambas opciones, únicamente activaciones híbridas de AWS o AWS IAM Roles Anywhere. Se recomienda utilizar las activaciones híbridas de AWS SSM si no dispone de una infraestructura de clave pública (PKI) existente con una entidad de certificación (CA) y certificados para los entornos en las instalaciones. Si ya dispone de PKI y certificados en las instalaciones, utilice AWS IAM Roles Anywhere.
Rol de IAM de nodos híbridos
Antes de poder conectar nodos híbridos al clúster de Amazon EKS, deberá crear un rol de IAM que se utilizará con las activaciones híbridas de AWS SSM o AWS IAM Roles Anywhere para las credenciales de los nodos híbridos. Tras la creación del clúster, utilizará este rol con una entrada de acceso de Amazon EKS o una entrada de aws-auth
ConfigMap para asignar el rol de IAM al control de acceso basado en roles (RBAC) de Kubernetes. Para obtener más información sobre cómo asociar el de IAM de Nodos híbridos al RBAC de Kubernetes, consulte Cómo preparar el acceso al clúster para los nodos híbridos.
El rol de IAM de nodos híbridos debe tener los siguientes permisos:
-
Permisos para que
nodeadm
utilice la accióneks:DescribeCluster
a fin de recopilar información sobre el clúster utilizado para conectar los nodos híbridos al clúster. Si no habilita la accióneks:DescribeCluster
, deberá transmitir el punto de conexión de la API de Kubernetes, el paquete de CA del clúster y el CIDR de IPv4 del servicio a la configuración de nodos que se transmite anodeadm
al ejecutarnodeadm
init. -
Permisos para que el kubelet pueda utilizar imágenes de contenedores de Amazon Elastic Container Registry (Amazon ECR), según lo dispuesto en la política AmazonEC2ContainerRegistryPullOnly.
-
Si usa AWS SSM, permisos para que
nodeadm
init utilice las activaciones híbridas de AWS SSM, tal y como se define en la política aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html. -
Si usa AWS SSM, permisos para usar la acción
ssm:DeregisterManagedInstance
y la acciónssm:DescribeInstanceInformation
para quenodeadm uninstall
anule el registro de instancias. -
(Opcional) Permisos para que el agente de Pod Identity de Amazon EKS utilice la acción
eks-auth:AssumeRoleForPodIdentity
para recuperar las credenciales de los pods.
Configuración de activaciones híbridas de AWS SSM
Antes de configurar las activaciones híbridas de AWS SSM, deberá crear y configurar un rol de IAM de nodos híbridos. Para obtener más información, consulte Creación del rol de IAM de nodos híbridos. Siga las instrucciones que aparecen en Cómo crear una activación híbrida para registrar nodos en Systems Manager en la Guía del usuario de AWS Systems Manager para crear una activación híbrida de AWS SSM para los nodos híbridos. El código de activación y el ID que recibe se utilizan con nodeadm
al registrar los hosts como nodos híbridos en el clúster de Amazon EKS. Podrá volver a este paso más adelante, una vez que haya creado y preparado los clústeres de Amazon EKS para nodos híbridos.
importante
Systems Manager regresa inmediatamente el código e ID de activación a la consola o la ventana de comandos, en función de cómo haya creado la activación. Copie esta información y guárdela en un lugar seguro. Si sale de la consola o cierra la ventana de comandos, podría perder esta información. Si la pierde, debe crear una nueva activación.
De forma predeterminada, las activaciones híbridas de AWS SSM se mantienen activas durante 24 horas. También puede especificar una --expiration-date
al crear la activación híbrida en formato de marca de tiempo, por ejemplo 2024-08-01T00:00:00
. Cuando utiliza AWS SSM como proveedor de credenciales, el nombre de nodo de los nodos híbridos no se puede configurar, sino que AWS SSM lo genera automáticamente. Puede ver y administrar las instancias administradas por AWS SSM en la consola de AWS Systems Manager, en Administrador de flotas. Puede registrar hasta 1000 nodos activados de manera híbrida estándar por cada cuenta por región de AWS sin costo adicional. Sin embargo, para registrar más de 1000 nodos híbridos es necesario activar el nivel de instancias avanzadas. El uso del nivel de instancias avanzadas conlleva un cargo que no está incluido en los precios de los Nodos híbridos de Amazon EKS
Consulte el siguiente ejemplo para saber cómo crear una activación híbrida de AWS SSM con el rol de IAM de nodos híbridos. Si utiliza activaciones híbridas de AWS SSM para las credenciales de los nodos híbridos, los nombres de los nodos híbridos tendrán el mismo formato mi-012345678abcdefgh
y las credenciales temporales aprovisionadas por AWS SSM serán válidas durante 1 hora. No puede modificar el nombre del nodo ni la duración de las credenciales si utiliza AWS SSM como proveedor de credenciales. AWS SSM rota automáticamente las credenciales temporales y la rotación no afecta al estado de los nodos o las aplicaciones.
Se recomienda utilizar una activación híbrida de AWS SSM por clúster de EKS para limitar el permiso ssm:DeregisterManagedInstance
de AWS SSM del rol de IAM de nodos híbridos de modo que únicamente pueda anular el registro de las instancias asociadas a la activación híbrida de AWS SSM. En el ejemplo que aparece en esta página, se utiliza una etiqueta con el ARN del clúster de EKS, que se puede utilizar para asignar la activación híbrida de AWS SSM al clúster de EKS. También puede utilizar la etiqueta y el método que prefiera para determinar el alcance de los permisos de AWS SSM en función de los límites de permisos y requisitos. La opción REGISTRATION_LIMIT
del siguiente comando es un número entero que se utiliza para limitar la cantidad de máquinas que pueden utilizar la activación híbrida de AWS SSM (por ejemplo, 10
)
aws ssm create-activation \ --region AWS_REGION \ --default-instance-name eks-hybrid-nodes \ --description "Activation for EKS hybrid nodes" \ --iam-role AmazonEKSHybridNodesRole \ --tags Key=EKSClusterARN,Value=arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \ --registration-limit REGISTRATION_LIMIT
Consulte las instrucciones de Creación de una activación híbrida para registrar nodos en Systems Manager para obtener más información sobre los ajustes de configuración disponibles para las activaciones híbridas de AWS SSM.
Configuración de AWS IAM Roles Anywhere
Siga las instrucciones que aparecen en Introducción a IAM Roles Anywhere en la Guía del usuario de IAM Roles Anywhere para configurar el anclaje de veracidad y el perfil que utilizará como credenciales de IAM temporales para el rol de IAM de nodos híbridos. Puede crear el perfil sin agregar ningún rol. Puede crear este perfil, volver a estos pasos para crear el rol de IAM de nodos híbridos y, a continuación, agregar el rol al perfil una vez creado. También puede utilizar los pasos de AWS CloudFormation que aparecen más adelante en esta página para completar la configuración de IAM Roles Anywhere para los nodos híbridos.
Al agregar el rol de IAM de nodos híbridos al perfil, seleccione Aceptar el nombre de sesión de rol personalizado en el panel de nombre de sesión de Rol personalizado, situado en la parte inferior de la página Editar perfil de la consola de AWS IAM Roles Anywhere. Corresponde al campo acceptRoleSessionName de la API CreateProfile
. Esto permite proporcionar un nombre de nodo personalizado para los nodos híbridos en la configuración que se transmite a nodeadm
durante el proceso de arranque. Es necesario transmitir un nombre de nodo personalizado durante el proceso de nodeadm init
. Puede actualizar el perfil para aceptar un nombre de sesión de rol personalizado después de crear el perfil.
Puede configurar la duración de la validez de las credenciales con AWS IAM Roles Anywhere mediante el campo durationSeconds del perfil de AWS IAM Roles Anywhere. La duración predeterminada es de una hora con un máximo de 12 horas. La configuración MaxSessionDuration
del rol de IAM de nodos híbridos debe ser mayor que la configuración durationSeconds
del perfil de AWS IAM Roles Anywhere. Para obtener más información sobre MaxSessionDuration
, consulte la documentación sobre la API UpdateRole.
Los certificados y claves por máquina que genere a partir de la entidad de certificación (CA) se deben colocar en el directorio /etc/iam/pki
de cada nodo híbrido con los nombres de archivo server.pem
para el certificado y server.key
para la clave.
Creación del rol de IAM de nodos híbridos
Para ejecutar los pasos de esta sección, la entidad principal de IAM que utilice la consola de AWS o AWS CLI debe tener los siguientes permisos.
-
iam:CreatePolicy
-
iam:CreateRole
-
iam:AttachRolePolicy
-
Si utiliza AWS IAM Roles Anywhere
-
rolesanywhere:CreateTrustAnchor
-
rolesanywhere:CreateProfile
-
iam:PassRole
-
AWS CloudFormation
Si aún no lo ha hecho, instale y configure AWS CLI. Consulte Instalación o actualización de la versión más reciente de AWS CLI.
Pasos para las activaciones híbridas de AWS SSM
La pila de CloudFormation crea el rol de IAM de nodos híbridos con los permisos descritos anteriormente. La plantilla de CloudFormation no crea la activación híbrida de AWS SSM.
-
Descargue la plantilla de AWS SSM CloudFormation para nodos híbridos:
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'
-
Cree un
cfn-ssm-parameters.json
con las opciones siguientes:-
Sustituya
ROLE_NAME
por el nombre del rol de IAM de nodos híbridos. De forma predeterminada, la plantilla de CloudFormation utilizaAmazonEKSHybridNodesRole
como el nombre del rol que crea si no se especifica ningún nombre. -
Sustituya
TAG_KEY
por la clave de etiqueta del recurso de AWS SSM que utilizó al crear la activación híbrida de AWS SSM. La combinación de la clave de etiqueta y el valor de la etiqueta se utiliza en la condición dessm:DeregisterManagedInstance
para permitir que el rol de IAM de nodos híbridos anule el registro de las instancias administradas por AWS SSM asociadas a la activación híbrida de AWS SSM. En la plantilla de CloudFormation, el valor predeterminado deTAG_KEY
esEKSClusterARN
. -
Sustituya
TAG_VALUE
por el valor de etiqueta del recurso de AWS SSM que utilizó al crear la activación híbrida de AWS SSM. La combinación de la clave de etiqueta y el valor de la etiqueta se utiliza en la condición dessm:DeregisterManagedInstance
para permitir que el rol de IAM de nodos híbridos anule el registro de las instancias administradas por AWS SSM asociadas a la activación híbrida de AWS SSM. Si utiliza laTAG_KEY
predeterminada deEKSClusterARN
, transmita el ARN del clúster de EKS como elTAG_VALUE
. Los ARN del clúster de EKS tienen el formatoarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME
.{ "Parameters": { "RoleName": "ROLE_NAME", "SSMDeregisterConditionTagKey": "TAG_KEY", "SSMDeregisterConditionTagValue": "TAG_VALUE" } }
-
-
Implementación de la pila de CloudFormation. Sustituya
STACK_NAME
por el nombre de la pila de CloudFormation.aws cloudformation deploy \ --stack-name STACK_NAME \ --template-file hybrid-ssm-cfn.yaml \ --parameter-overrides file://cfn-ssm-parameters.json \ --capabilities CAPABILITY_NAMED_IAM
Pasos correspondientes a AWS IAM Roles Anywhere
La pila de CloudFormation crea el anclaje de veracidad de AWS IAM Roles Anywhere con la entidad de certificación (CA) que configure, crea el perfil de AWS IAM Roles Anywhere y crea el rol de IAM de nodos híbridos con los permisos descritos anteriormente.
-
Para configurar una entidad de certificación
-
Para utilizar un recurso de AWS Private CA, abra la consola de AWS Private Certificate Authority
. Siga las instrucciones que aparecen en la Guía del usuario de AWS Private CA. -
Para usar una entidad de certificación externa, siga las instrucciones proporcionadas por esta. El contenido del certificado se proporcionará más adelante.
-
Los certificados emitidos por entidades de certificación públicas no se pueden utilizar como anclajes de veracidad.
-
-
Descargue la plantilla de CloudFormation de AWS IAM Roles Anywhere para nodos híbridos
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'
-
Cree un
cfn-iamra-parameters.json
con las opciones siguientes:-
Sustituya
ROLE_NAME
por el nombre del rol de IAM de nodos híbridos. De forma predeterminada, la plantilla de CloudFormation utilizaAmazonEKSHybridNodesRole
como el nombre del rol que crea si no se especifica ningún nombre. -
Sustituya
CERT_ATTRIBUTE
por el atributo de certificado por máquina que identifique de forma exclusiva al host. El atributo de certificado que utilice debe coincidir con el nodeName que utilice para la configuración denodeadm
al conectar nodos híbridos al clúster. Para obtener más información, consulte Referencia de nodeadm de nodos híbridos. De forma predeterminada, la plantilla de CloudFormation utiliza${aws:PrincipalTag/x509Subject/CN}
comoCERT_ATTRIBUTE
, que corresponde al campo CN de los certificados por máquina. También puede transmitir$(aws:PrincipalTag/x509SAN/Name/CN}
comoCERT_ATTRIBUTE
. -
Sustituya
CA_CERT_BODY
por el contenido del certificado de la entidad de certificación sin saltos de línea. ElCA_CERT_BODY
debe estar en formato Privacy Enhanced Mail (PEM). Si tiene un certificado de entidad de certificación en formato PEM, elimine los saltos de línea y las líneas BEGIN CERTIFICATE y END CERTIFICATE antes de incluir el contenido del certificado de la entidad de certificación en el archivocfn-iamra-parameters.json
.{ "Parameters": { "RoleName": "ROLE_NAME", "CertAttributeTrustPolicy": "CERT_ATTRIBUTE", "CABundleCert": "CA_CERT_BODY" } }
-
-
Implemente la plantilla de CloudFormation. Sustituya
STACK_NAME
por el nombre de la pila de CloudFormation.aws cloudformation deploy \ --stack-name STACK_NAME \ --template-file hybrid-ira-cfn.yaml \ --parameter-overrides file://cfn-iamra-parameters.json --capabilities CAPABILITY_NAMED_IAM
AWS CLI
Si aún no lo ha hecho, instale y configure AWS CLI. Consulte Instalación o actualización de la versión más reciente de AWS CLI.
Cómo crear la política de descripción de clústeres de EKS
-
Cree un archivo denominado
eks-describe-cluster-policy.json
con el siguiente contenido:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks:DescribeCluster" ], "Resource": "*" } ] }
-
Cree la política con el siguiente comando:
aws iam create-policy \ --policy-name EKSDescribeClusterPolicy \ --policy-document file://eks-describe-cluster-policy.json
Pasos para las activaciones híbridas de AWS SSM
-
Cree un archivo denominado
eks-hybrid-ssm-policy.json
con el siguiente contenido. La política concede permisos para dos acciones:ssm:DescribeInstanceInformation
yssm:DeregisterManagedInstance
. La política restringe el permisossm:DeregisterManagedInstance
a las instancias administradas por AWS SSM asociadas a la activación híbrida de AWS SSM en función de la etiqueta de recurso que especifique en la política de confianza.-
Sustituya
AWS_REGION
por la región AWS para la activación híbrida de AWS SSM. -
Reemplace
AWS_ACCOUNT_ID
por su ID de cuenta de AWS. -
Sustituya
TAG_KEY
por la clave de etiqueta del recurso de AWS SSM que utilizó al crear la activación híbrida de AWS SSM. La combinación de la clave de etiqueta y el valor de la etiqueta se utiliza en la condición dessm:DeregisterManagedInstance
para permitir que el rol de IAM de nodos híbridos anule el registro de las instancias administradas por AWS SSM asociadas a la activación híbrida de AWS SSM. En la plantilla de CloudFormation, el valor predeterminado deTAG_KEY
esEKSClusterARN
. -
Sustituya
TAG_VALUE
por el valor de etiqueta del recurso de AWS SSM que utilizó al crear la activación híbrida de AWS SSM. La combinación de la clave de etiqueta y el valor de la etiqueta se utiliza en la condición dessm:DeregisterManagedInstance
para permitir que el rol de IAM de nodos híbridos anule el registro de las instancias administradas por AWS SSM asociadas a la activación híbrida de AWS SSM. Si utiliza laTAG_KEY
predeterminada deEKSClusterARN
, transmita el ARN del clúster de EKS como elTAG_VALUE
. Los ARN del clúster de EKS tienen el formatoarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:DescribeInstanceInformation", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:DeregisterManagedInstance", "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*", "Condition": { "StringEquals": { "ssm:resourceTag/TAG_KEY": "TAG_VALUE" } } } ] }
-
-
Cree la política mediante el siguiente comando
aws iam create-policy \ --policy-name EKSHybridSSMPolicy \ --policy-document file://eks-hybrid-ssm-policy.json
-
Cree un archivo denominado
eks-hybrid-ssm-trust.json
. SustituyaAWS_REGION
por la región de AWS de la activación híbrida de AWS SSM yAWS_ACCOUNT_ID
por el ID de la cuenta de AWS.{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"AWS_ACCOUNT_ID" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*" } } } ] }
-
Cree el rol con el siguiente comando.
aws iam create-role \ --role-name AmazonEKSHybridNodesRole \ --assume-role-policy-document file://eks-hybrid-ssm-trust.json
-
Asocie la
EKSDescribeClusterPolicy
y laEKSHybridSSMPolicy
que creó en los pasos anteriores. ReemplaceAWS_ACCOUNT_ID
por su ID de cuenta de AWS.aws iam attach-role-policy \ --role-name AmazonEKSHybridNodesRole \ --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
aws iam attach-role-policy \ --role-name AmazonEKSHybridNodesRole \ --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy
-
Asocie las políticas
AmazonEC2ContainerRegistryPullOnly
yAmazonSSMManagedInstanceCore
administradas por AWS.aws iam attach-role-policy \ --role-name AmazonEKSHybridNodesRole \ --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
aws iam attach-role-policy \ --role-name AmazonEKSHybridNodesRole \ --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
Pasos correspondientes a AWS IAM Roles Anywhere
Para utilizar AWS IAM Roles Anywhere, debe configurar el anclaje de veracidad de AWS IAM Roles Anywhere antes de crear el rol de IAM de nodos híbridos. Para obtener instrucciones, consulte Configuración de AWS IAM Roles Anywhere.
-
Cree un archivo denominado
eks-hybrid-iamra-trust.json
. SustituyaTRUST_ANCHOR ARN
por el ARN del anclaje de veracidad que creó en los pasos de Configuración de AWS IAM Roles Anywhere. La condición en esta política de confianza limita la capacidad de AWS IAM Roles Anywhere para asumir el rol de IAM de nodos híbridos. Esto permite el intercambio de credenciales temporales de IAM únicamente cuando el nombre de la sesión del rol coincide con el CN especificado en el certificado x509 instalado en los nodos híbridos. Alternativamente, puede utilizar otros atributos del certificado para identificar de manera única el nodo. El atributo de certificado que utilice en la política de confianza debe corresponder alnodeName
que haya establecido en la configuración denodeadm
. Para obtener más información, consulte Referencia de nodeadm de nodos híbridos.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:TagSession", "sts:SetSourceIdentity" ], "Condition": { "ArnEquals": { "aws:SourceArn": "TRUST_ANCHOR_ARN" } } }, { "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}" }, "ArnEquals": { "aws:SourceArn": "TRUST_ANCHOR_ARN" } } } ] }
-
Cree el rol con el siguiente comando.
aws iam create-role \ --role-name AmazonEKSHybridNodesRole \ --assume-role-policy-document file://eks-hybrid-iamra-trust.json
-
Asocie la
EKSDescribeClusterPolicy
que creó en los pasos anteriores. ReemplaceAWS_ACCOUNT_ID
por su ID de cuenta de AWS.aws iam attach-role-policy \ --role-name AmazonEKSHybridNodesRole \ --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
-
Asocie la política
AmazonEC2ContainerRegistryPullOnly
administrada por AWS.aws iam attach-role-policy \ --role-name AmazonEKSHybridNodesRole \ --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
Consola de administración de AWS
Cómo crear la política de descripción de clústeres de EKS
-
Abra la consola de Amazon IAM
. -
En el panel de navegación izquierdo, elija Policies (Políticas).
-
En la página Políticas, seleccione Crear una política.
-
En la página Especificar permisos, en Seleccionar un panel de servicio, elija EKS.
-
Filtre las acciones de DescribeCluster y seleccione la acción de lectura DescribeCluster.
-
Elija Siguiente.
-
-
En la página Revisar y crear
-
Ingresa un Nombre de política para la política, como
EKSDescribeClusterPolicy
. -
Seleccione Crear política.
-
Pasos para las activaciones híbridas de AWS SSM
-
Abra la consola de Amazon IAM
. -
En el panel de navegación izquierdo, elija Policies (Políticas).
-
En la página Políticas, seleccione Crear una política.
-
En la página Especificar permisos, en el Editor de políticas en la esquina superior derecha, elija JSON. Pegue el siguiente fragmento. Sustituya
AWS_REGION
por la región de AWS de la activación híbrida de AWS SSM yAWS_ACCOUNT_ID
por el ID de la cuenta de AWS. SustituyaTAG_KEY
yTAG_VALUE
por la clave de etiqueta del recurso de AWS SSM que utilizó al crear la activación híbrida de AWS SSM.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ssm:DescribeInstanceInformation", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:DeregisterManagedInstance", "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*", "Condition": { "StringEquals": { "ssm:resourceTag/TAG_KEY": "TAG_VALUE" } } } ] }
-
Elija Siguiente.
-
-
En la página Revisar y crear.
-
Ingrese un nombre de Política para la política, como
EKSHybridSSMPolicy
-
Seleccione Crear política.
-
-
En el panel de navegación izquierdo, elija Roles.
-
En la página Roles, elija Crear rol.
-
En la página Seleccionar entidad de confianza, haga lo siguiente:
-
En la sección de tipo de Entidad de confianza, elija Política de confianza personalizada. Pegue lo siguiente en el editor de políticas de confianza personalizadas. Sustituya
AWS_REGION
por la región de AWS de la activación híbrida de AWS SSM yAWS_ACCOUNT_ID
por el ID de la cuenta de AWS.{ "Version":"2012-10-17", "Statement":[ { "Sid":"", "Effect":"Allow", "Principal":{ "Service":"ssm.amazonaws.com" }, "Action":"sts:AssumeRole", "Condition":{ "StringEquals":{ "aws:SourceAccount":"AWS_ACCOUNT_ID" }, "ArnEquals":{ "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*" } } } ] }
-
Seleccione Siguiente.
-
-
En la página Agregar permisos, asocie una política personalizada o haga lo siguiente:
-
En el cuadro Filtrar políticas, ingrese
EKSDescribeClusterPolicy
o el nombre de la política que creó anteriormente. Marque la casilla situada a la izquierda del nombre de la política en los resultados de la búsqueda. -
En el cuadro Filtrar políticas, ingrese
EKSHybridSSMPolicy
o el nombre de la política que creó anteriormente. Marque la casilla situada a la izquierda del nombre de la política en los resultados de la búsqueda. -
En el cuadro Filtrar políticas, escriba
AmazonEC2ContainerRegistryPullOnly
. Marque la casilla situada a la izquierda deAmazonEC2ContainerRegistryPullOnly
en los resultados de la búsqueda. -
En el cuadro Filtrar políticas, escriba
AmazonSSMManagedInstanceCore
. Marque la casilla situada a la izquierda deAmazonSSMManagedInstanceCore
en los resultados de la búsqueda. -
Elija Siguiente.
-
-
En la página Nombrar, revisar y crear, haga lo siguiente:
-
En Nombre del rol, ingrese un nombre único para su rol, por ejemplo,
AmazonEKSHybridNodesRole
. -
En Description (Descripción), sustituya el texto actual por un texto descriptivo, como
Amazon EKS - Hybrid Nodes role
. -
Elija Creación de rol.
-
Pasos correspondientes a AWS IAM Roles Anywhere
Para utilizar AWS IAM Roles Anywhere, debe configurar el anclaje de veracidad de AWS IAM Roles Anywhere antes de crear el rol de IAM de nodos híbridos. Para obtener instrucciones, consulte Configuración de AWS IAM Roles Anywhere.
-
Abra la consola de Amazon IAM
. -
En el panel de navegación izquierdo, elija Roles.
-
En la página Roles, elija Crear rol.
-
En la página Seleccionar entidad de confianza, haga lo siguiente:
-
En la sección de tipo de Entidad de confianza, elija Política de confianza personalizada. Pegue lo siguiente en el editor de políticas de confianza personalizadas. Sustituya
TRUST_ANCHOR ARN
por el ARN del anclaje de veracidad que creó en los pasos de Configuración de AWS IAM Roles Anywhere. La condición en esta política de confianza limita la capacidad de AWS IAM Roles Anywhere para asumir el rol de IAM de nodos híbridos. Esto permite el intercambio de credenciales temporales de IAM únicamente cuando el nombre de la sesión del rol coincide con el CN especificado en el certificado x509 instalado en los nodos híbridos. Alternativamente, puede utilizar otros atributos del certificado para identificar de manera única el nodo. El atributo de certificado que utilice en la política de confianza debe corresponder al nodeName que haya establecido en la configuración de nodeadm. Para obtener más información, consulte Referencia de nodeadm de nodos híbridos.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": [ "sts:TagSession", "sts:SetSourceIdentity" ], "Condition": { "ArnEquals": { "aws:SourceArn": "TRUST_ANCHOR_ARN" } } }, { "Effect": "Allow", "Principal": { "Service": "rolesanywhere.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}" }, "ArnEquals": { "aws:SourceArn": "TRUST_ANCHOR_ARN" } } } ] }
-
Seleccione Siguiente.
-
-
En la página Agregar permisos, asocie una política personalizada o haga lo siguiente:
-
En el cuadro Filtrar políticas, ingrese
EKSDescribeClusterPolicy
o el nombre de la política que creó anteriormente. Marque la casilla situada a la izquierda del nombre de la política en los resultados de la búsqueda. -
En el cuadro Filtrar políticas, escriba
AmazonEC2ContainerRegistryPullOnly
. Marque la casilla situada a la izquierda deAmazonEC2ContainerRegistryPullOnly
en los resultados de la búsqueda. -
Elija Siguiente.
-
-
En la página Nombrar, revisar y crear, haga lo siguiente:
-
En Nombre del rol, ingrese un nombre único para su rol, por ejemplo,
AmazonEKSHybridNodesRole
. -
En Description (Descripción), sustituya el texto actual por un texto descriptivo, como
Amazon EKS - Hybrid Nodes role
. -
Elija Creación de rol.
-