Habilite los roles de IAM para las cuentas de servicio (IRSA) en el clúster de EKS - Amazon EMR
A fin de crear un proveedor de identidad de OIDC de IAM para su clúster con eksctlA fin de crear un proveedor de identidad de OIDC de IAM para su clúster con la AWS Management Console

Habilite los roles de IAM para las cuentas de servicio (IRSA) en el clúster de EKS

La característica de roles de IAM para cuentas de servicio está disponible en los nuevos clústeres de la versión 1.14 de Amazon EKS y posteriores, y para clústeres de EKS que se actualizaron a las versiones 1.13 o posteriores a partir del 3 de septiembre de 2019. Para utilizar esta característica, puede actualizar los clústeres de EKS existentes a la versión 1.14 o posteriores. Para obtener más información, consulte Actualización de una versión de Kubernetes de clúster de Amazon EKS.

Si el clúster admite roles de IAM para cuentas de servicio, tiene asociada una URL de emisor de OpenID Connect. Puede ver esta URL en la consola de Amazon EKS o puede utilizar el siguiente comando de la AWS CLI para recuperarla.

importante

Debe usar al menos la versión más reciente de la AWS CLI para recibir la salida correcta de este comando.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

El resultado esperado es el siguiente.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Para utilizar roles de IAM para cuentas de servicio en su clúster, debe crear un proveedor de identidad OIDC con eksctl o la AWS Management Console.

A fin de crear un proveedor de identidad de OIDC de IAM para su clúster con eksctl

Consulte su versión de eksctl con el siguiente comando. En este procedimiento, se presupone que ha instalado eksctl y que su versión de eksctl es al menos 0.32.0 o posterior.

eksctl version

Para obtener más información sobre cómo instalar o actualizar eksctl, consulte Instalación o actualización de eksctl.

Cree su proveedor de identidad OIDC para su clúster con el siguiente comando. Reemplace cluster_name por su propio valor.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

A fin de crear un proveedor de identidad de OIDC de IAM para su clúster con la AWS Management Console

Recupere la URL del emisor OIDC desde la descripción de la consola de Amazon EKS de su clúster o utilice el siguiente comando de la AWS CLI.

Utilice el siguiente comando para recuperar la URL del emisor de OIDC de la AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Siga estos pasos para recuperar la URL del emisor de OIDC de la consola de Amazon EKS.

  1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. En el panel de navegación, elija Proveedores de identidad y, a continuación, elija Crear un proveedor.

    1. En Provider Type (Tipo de proveedor), elija Choose a provider type (Elegir un tipo de proveedor) y, luego, elija OpenID Connect.

    2. En Provider URL (URL del proveedor), pegue la URL del emisor OIDC de su clúster.

    3. En Audiencia, ingrese sts.amazonaws.com y seleccione Paso siguiente.

  3. Compruebe que la información del proveedor es correcta y, a continuación, seleccione Create (Crear) para crear su proveedor de identidad.