Habilite IAM los roles para las cuentas de servicio (IRSA) en el clúster EKS - Amazon EMR

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilite IAM los roles para las cuentas de servicio (IRSA) en el clúster EKS

La función de IAM roles para cuentas de servicio está disponible en EKS las versiones 1.14 y posteriores de Amazon y para EKS los clústeres que se actualicen a las versiones 1.13 o posteriores el 3 de septiembre de 2019 o después. Para usar esta función, puedes actualizar los EKS clústeres existentes a la versión 1.14 o posterior. Para obtener más información, consulte Actualización de una versión de Kubernetes de un EKS clúster de Amazon.

Si su clúster admite IAM funciones para cuentas de servicio, tiene un emisor de OpenID Connect URL asociado. Puedes verlo URL en la EKS consola de Amazon o puedes usar el siguiente AWS CLI comando para recuperarlo.

importante

Debe utilizar la última versión de AWS CLI para recibir el resultado correcto de este comando.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

El resultado esperado es el siguiente.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Para usar IAM roles para las cuentas de servicio de su clúster, debe crear un proveedor de OIDC identidades mediante eksctl o el. AWS Management Console

Para crear un proveedor de IAM OIDC identidades para su clúster con eksctl

Consulte su versión de eksctl con el siguiente comando. En este procedimiento, se presupone que ha instalado eksctl y que su versión de eksctl es al menos 0.32.0 o posterior.

eksctl version

Para obtener más información sobre cómo instalar o actualizar eksctl, consulte Instalación o actualización de eksctl.

Cree su proveedor de OIDC identidad para el clúster con el siguiente comando. Reemplazar cluster_name con su propio valor.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Para crear un proveedor de IAM OIDC identidades para su clúster con el AWS Management Console

Recupera el OIDC emisor URL de la descripción de tu clúster en la EKS consola de Amazon o usa el siguiente AWS CLI comando.

Usa el siguiente comando para recuperar el OIDC emisor URL del. AWS CLI

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Sigue los siguientes pasos para recuperar el OIDC emisor URL de la EKS consola de Amazon.

  1. Abre la IAM consola en. https://console.aws.amazon.com/iam/

  2. En el panel de navegación, elija Proveedores de identidad y, a continuación, elija Crear un proveedor.

    1. En Provider Type (Tipo de proveedor), elija Choose a provider type (Elegir un tipo de proveedor) y, luego, elija OpenID Connect.

    2. URLEn Provider, pegue el OIDC emisor URL del clúster.

    3. En Audiencia, ingrese sts.amazonaws.com y seleccione Paso siguiente.

  3. Compruebe que la información del proveedor es correcta y, a continuación, seleccione Create (Crear) para crear su proveedor de identidad.