Recherche d'un rôle de cluster existant Création du rôle de EKS cluster Amazon

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions contribueront à améliorer notre guide de l'utilisateur pour tous.

IAMRôle EKS du cluster Amazon

Un IAM rôle de EKS cluster Amazon est requis pour chaque cluster. Kubernetes les clusters gérés par Amazon EKS utilisent ce rôle pour gérer les nœuds et l'ancien fournisseur de cloud utilise ce rôle pour créer des équilibreurs de charge avec Elastic Load Balancing pour les services.

Avant de créer des EKS clusters Amazon, vous devez créer un IAM rôle avec l'une des IAM politiques suivantes :

Une mazonEKSCluster politique

Une IAM politique personnalisée. Les autorisations minimales qui suivent permettent Kubernetes cluster pour gérer les nœuds, mais n'autorise pas l'ancien fournisseur de cloud à créer des équilibreurs de charge avec Elastic Load Balancing. Votre IAM politique personnalisée doit disposer au moins des autorisations suivantes :


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws: ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstanceTopology",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Note

Avant le 3 octobre 2023, une mazonEKSCluster politique était requise sur le IAM rôle de chaque cluster.

Avant le 16 avril 2020, une mazonEKSService politique et une mazonEKSCluster politique étaient requises et le nom suggéré pour le rôle étaiteksServiceRole. Avec le rôle AWSServiceRoleForAmazonEKS lié au service, la mazonEKSServicepolitique A n'est plus requise pour les clusters créés le 16 avril 2020 ou après cette date.

Recherche d'un rôle de cluster existant

Vous pouvez utiliser la procédure suivante pour vérifier si votre compte possède déjà le rôle de EKS cluster Amazon.

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation de gauche, choisissez Rôles.
Recherchez dans la liste des rôles eksClusterRole. Si un rôle incluant eksClusterRole n'existe pas, reportez-vous Création du rôle de EKS cluster Amazon à la section Création du rôle. Si un rôle qui inclut eksClusterRole existe, sélectionnez le rôle pour afficher les politiques attachées.
Choisissez Permissions (Autorisations).
Assurez-vous que la mazonEKSClusterpolitique gérée par A Policy est attachée au rôle. Si la politique est jointe, votre rôle de EKS cluster Amazon est correctement configuré.
Sélectionnez l'onglet Trust relationships (Relations d'approbation), puis Edit trust policy (Modifier la relation d'approbation).
Vérifiez que la relation d'approbation contient la politique suivante. Si la relation d'approbation correspond à la politique ci-dessous, sélectionnez Annuler. Si la relation de confiance ne correspond pas, copiez la politique dans la fenêtre Modifier la politique de confiance et choisissez Mettre à jour la politique.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Création du rôle de EKS cluster Amazon

Vous pouvez utiliser le AWS Management Console ou le AWS CLI pour créer le rôle de cluster.

AWS Management Console

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Choisissez Roles (Rôles) puis Create role (Créer un rôle).
Sous Type d'entité de confiance, sélectionnez AWS service.
Dans la liste déroulante Cas d'utilisation d'autres AWS services, sélectionnez EKS.
Choisissez EKS- Cluster pour votre cas d'utilisation, puis choisissez Next.
Sous l'onglet Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).
Pour Role name (Nom de rôle), saisissez un nom unique pour votre rôle, par exemple, eksClusterRole.
Pour Description, saisissez un texte descriptif tel que Amazon EKS - Cluster role.
Sélectionnez Créer un rôle.

AWS CLI

Copiez le contenu suivant dans un fichier nommé cluster-trust-policy.json.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Créez le rôle. Vous pouvez remplacer eksClusterRole par n'importe quel nom que vous choisissez.


aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

Associez la IAM politique requise au rôle.


aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole

📝 Modifiez cette page sur GitHub

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes

IAMRôle EKS du nœud Amazon