Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilite IAM los roles para las cuentas de servicio (IRSA) en el clúster EKS
La función de IAM roles para cuentas de servicio está disponible en EKS las versiones 1.14 y posteriores de Amazon y para EKS los clústeres que se actualicen a las versiones 1.13 o posteriores el 3 de septiembre de 2019 o después. Para usar esta función, puedes actualizar los EKS clústeres existentes a la versión 1.14 o posterior. Para obtener más información, consulte Actualización de una versión de Kubernetes de un EKS clúster de Amazon.
Si su clúster admite IAM funciones para cuentas de servicio, tiene un emisor de OpenID Connect
importante
Debe utilizar la última versión de AWS CLI para recibir el resultado correcto de este comando.
aws eks describe-cluster --name
cluster_name
--query "cluster.identity.oidc.issuer" --output text
El resultado esperado es el siguiente.
https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E
Para usar IAM roles para las cuentas de servicio de su clúster, debe crear un proveedor de OIDC identidades mediante eksctl o el. AWS Management Console
Para crear un proveedor de IAM OIDC identidades para su clúster con eksctl
Consulte su versión de eksctl
con el siguiente comando. En este procedimiento, se presupone que ha instalado eksctl
y que su versión de eksctl
es al menos 0.32.0 o posterior.
eksctl version
Para obtener más información sobre cómo instalar o actualizar eksctl, consulte Instalación o actualización de eksctl.
Cree su proveedor de OIDC identidad para el clúster con el siguiente comando. Reemplazar cluster_name
con su propio valor.
eksctl utils associate-iam-oidc-provider --cluster
cluster_name
--approve
Para crear un proveedor de IAM OIDC identidades para su clúster con el AWS Management Console
Recupera el OIDC emisor URL de la descripción de tu clúster en la EKS consola de Amazon o usa el siguiente AWS CLI comando.
Usa el siguiente comando para recuperar el OIDC emisor URL del. AWS CLI
aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text
Sigue los siguientes pasos para recuperar el OIDC emisor URL de la EKS consola de Amazon.
-
Abre la IAM consola en. https://console.aws.amazon.com/iam/
-
En el panel de navegación, elija Proveedores de identidad y, a continuación, elija Crear un proveedor.
-
En Provider Type (Tipo de proveedor), elija Choose a provider type (Elegir un tipo de proveedor) y, luego, elija OpenID Connect.
-
URLEn Provider, pegue el OIDC emisor URL del clúster.
-
En Audiencia, ingrese sts.amazonaws.com y seleccione Paso siguiente.
-
-
Compruebe que la información del proveedor es correcta y, a continuación, seleccione Create (Crear) para crear su proveedor de identidad.