Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Cette rubrique décrit les rôles et les autorisations requis pour utiliser le mode automatique d'EKS (Identity and Access Management) (IAM). Le mode automatique d'EKS utilise deux rôles IAM principaux : un rôle IAM de cluster et un rôle IAM de nœud. Ces rôles fonctionnent conjointement avec EKS Pod Identity et les entrées d'accès EKS pour fournir une gestion complète des accès pour vos clusters EKS.
Lorsque vous configurez le mode automatique d'EKS, vous devez configurer ces rôles IAM avec des autorisations spécifiques qui permettent aux AWS services d'interagir avec les ressources de votre cluster. Cela inclut les autorisations pour gérer les ressources informatiques, les volumes de stockage, les équilibreurs de charge et les composants réseau. Il est essentiel de comprendre ces configurations de rôles pour garantir le bon fonctionnement et la sécurité du cluster.
En mode automatique d'EKS, les rôles AWS IAM sont automatiquement mappés aux autorisations Kubernetes via les entrées d'accès EKS, ce qui élimine le besoin de configuration manuelle ou de liaisons personnalisées. aws-auth ConfigMaps Lorsque vous créez un nouveau cluster en mode automatique, EKS crée automatiquement les autorisations Kubernetes correspondantes à l'aide des entrées Access, garantissant ainsi que les AWS services et les composants du cluster disposent des niveaux d'accès appropriés dans le système d'autorisation AWS et dans le système d'autorisation Kubernetes. Cette intégration automatisée réduit la complexité de configuration et permet d'éviter les problèmes liés aux autorisations qui se produisent fréquemment lors de la gestion des clusters EKS.
Rôle IAM du cluster
Le rôle Cluster IAM est un rôle AWS Identity and Access Management (IAM) utilisé par Amazon EKS pour gérer les autorisations pour les clusters Kubernetes. Ce rôle accorde à Amazon EKS les autorisations nécessaires pour interagir avec d'autres AWS services au nom de votre cluster et est automatiquement configuré avec des autorisations Kubernetes à l'aide des entrées d'accès EKS.
-
Vous devez associer des politiques AWS IAM à ce rôle.
-
Le mode automatique EKS associe automatiquement les autorisations Kubernetes à ce rôle à l'aide des entrées d'accès EKS.
-
Avec le mode automatique d'EKS, AWS suggère de créer un seul rôle IAM de cluster par AWS compte.
-
AWS suggère de nommer ce rôle
AmazonEKSAutoClusterRole. -
Ce rôle nécessite des autorisations pour plusieurs AWS services afin de gérer les ressources, notamment les volumes EBS, les Elastic Load Balancers et EC2 les instances.
-
La configuration suggérée pour ce rôle inclut plusieurs politiques IAM AWS gérées, liées aux différentes fonctionnalités du mode automatique d'EKS.
-
AmazonEKSComputePolicy -
AmazonEKSBlockStoragePolicy -
AmazonEKSLoadBalancingPolicy -
AmazonEKSNetworkingPolicy -
AmazonEKSClusterPolicy
-
Pour plus d'informations sur le rôle IAM du cluster et les politiques IAM AWS gérées, voir :
Pour plus d'informations sur l'accès à Kubernetes, consultez :
Rôle IAM de nœud
Le rôle Node IAM est un rôle AWS Identity and Access Management (IAM) utilisé par Amazon EKS pour gérer les autorisations des nœuds de travail dans les clusters Kubernetes. Ce rôle accorde aux EC2 instances exécutées en tant que nœuds Kubernetes les autorisations nécessaires pour interagir avec les AWS services et les ressources, et est automatiquement configuré avec les autorisations RBAC Kubernetes à l'aide des entrées d'accès EKS.
-
Vous devez associer des politiques AWS IAM à ce rôle.
-
Le mode automatique EKS associe automatiquement les autorisations RBAC Kubernetes à ce rôle à l'aide des entrées d'accès EKS.
-
AWS suggère de nommer ce rôle
AmazonEKSAutoNodeRole. -
Avec le mode automatique d'EKS, AWS suggère de créer un rôle IAM de nœud unique par AWS compte.
-
Ce rôle possède des autorisations limitées. Les principales autorisations incluent le fait d'assumer un rôle d'identité de module et d'extraire des images de l'ECR.
-
AWS suggère les politiques IAM AWS gérées suivantes :
-
AmazonEKSWorkerNodeMinimalPolicy -
AmazonEC2ContainerRegistryPullOnly
-
Pour plus d'informations sur le rôle IAM du cluster et les politiques IAM AWS gérées, voir :
Pour plus d'informations sur l'accès à Kubernetes, consultez :
Rôle lié à un service
Amazon EKS utilise un rôle lié à un service (SLR) pour certaines opérations. Un rôle lié à un service est un type unique de rôle IAM lié directement à Amazon EKS. Les rôles liés à un service sont prédéfinis par Amazon EKS et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
AWS crée et configure automatiquement le reflex. Vous ne pouvez supprimer un appareil photo reflex qu'après avoir d'abord supprimé les ressources associées. Cela protège vos ressources Amazon EKS, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
La politique SLR accorde à Amazon EKS l'autorisation d'observer et de supprimer les principaux composants de l'infrastructure : EC2 ressources (instances, interfaces réseau, groupes de sécurité), ressources ELB (équilibreurs de charge, groupes cibles), CloudWatch fonctionnalités (journalisation et métriques) et rôles IAM avec le préfixe « eks ». Il permet également la mise en réseau de points de terminaison privés via l'association VPC/zone hébergée et inclut des autorisations pour la EventBridge surveillance et le nettoyage des ressources étiquetées EKS.
Pour plus d’informations, consultez :
AWS Balises personnalisées pour les ressources EKS Auto
Par défaut, les politiques gérées liées au mode automatique d'EKS n'autorisent pas l'application de balises définies par l'utilisateur aux AWS ressources provisionnées en mode automatique. Si vous souhaitez appliquer des balises définies par l'utilisateur aux AWS ressources, vous devez attribuer des autorisations supplémentaires au rôle IAM du cluster avec des autorisations suffisantes pour créer et modifier des balises sur les AWS ressources. Vous trouverez ci-dessous un exemple de politique qui autorisera un accès illimité au balisage :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Compute",
"Effect": "Allow",
"Action": [
"ec2:CreateFleet",
"ec2:RunInstances",
"ec2:CreateLaunchTemplate"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
},
"StringLike": {
"aws:RequestTag/eks:kubernetes-node-class-name": "*",
"aws:RequestTag/eks:kubernetes-node-pool-name": "*"
}
}
},
{
"Sid": "Storage",
"Effect": "Allow",
"Action": [
"ec2:CreateVolume",
"ec2:CreateSnapshot"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:snapshot/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "Networking",
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
},
"StringLike": {
"aws:RequestTag/eks:kubernetes-cni-node-name": "*"
}
}
},
{
"Sid": "LoadBalancer",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateRule",
"ec2:CreateSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "ShieldProtection",
"Effect": "Allow",
"Action": [
"shield:CreateProtection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "ShieldTagResource",
"Effect": "Allow",
"Action": [
"shield:TagResource"
],
"Resource": "arn:aws:shield::*:protection/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
}
]
}Référence de politique d'accès
Pour plus d'informations sur les autorisations Kubernetes utilisées par le mode automatique d'EKS, consultez. Vérifiez les autorisations relatives à la politique d'accès
