Amazon EKS Pod IAMrôle d'exécution - Amazon EKS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Amazon EKS Pod IAMrôle d'exécution

L'Amazon EKS Pod un rôle d'exécution est requis pour exécuter Pods sur l'infrastructure AWS de Fargate.

Lorsque votre cluster crée Pods sur l' AWS infrastructure Fargate, les composants exécutés sur l'infrastructure Fargate doivent effectuer des appels en votre nom. AWS APIs Cela leur permet d'effectuer des actions telles que l'extraction d'images de conteneurs depuis Amazon ECR ou le routage des journaux vers d'autres AWS services. L'Amazon EKS Pod le rôle d'exécution fournit les IAM autorisations nécessaires pour ce faire.

Lorsque vous créez un profil Fargate, vous devez spécifier un Pod rôle d'exécution pour les EKS composants Amazon qui s'exécutent sur l'infrastructure Fargate à l'aide du profil. Ce rôle est ajouté au rôle du cluster Kubernetes Contrôle d'accès basé sur les rôles (RBAC) pour l'autorisation. Cela permet à l'kubeletinfrastructure Fargate de s'enregistrer auprès de votre cluster EKS Amazon afin qu'il puisse apparaître dans votre cluster en tant que nœud.

Note

Le profil Fargate doit avoir un IAM rôle différent de celui des groupes de nœuds AmazonEC2.

Important

Les conteneurs qui circulent dans le Fargate Pod ne peut pas assumer les IAM autorisations associées à un Pod rôle d'exécution. Pour donner les contenants de votre Fargate Pod autorisations pour accéder à d'autres AWS services, vous devez utiliser IAMdes rôles pour les comptes de service.

Avant de créer un profil Fargate, vous devez créer IAM un rôle avec le A. mazonEKSFargate PodExecutionRolePolicy

Vérifiez s'il existe un système existant correctement configuré Pod rôle d’exécution

Vous pouvez utiliser la procédure suivante pour vérifier si votre compte possède déjà un compte Amazon correctement configuré EKS Pod rôle d'exécution. Pour éviter un problème de sécurité adjoint confus, il est important que le rôle limite l'accès en fonction SourceArn de. Vous pouvez modifier le rôle d'exécution si nécessaire pour inclure la prise en charge des profils Fargate sur d'autres clusters.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Rôles.

  3. Sur la page Rôles, recherchez A dans la liste des rôles mazonEKSFargatePodExecutionRole. Si le rôle n'existe pas, reportez-vous Création de l'Amazon EKS Pod rôle d’exécution à la section pour le créer. Si le rôle existe, sélectionnez-le.

  4. Sur la mazonEKSFargate PodExecutionRole page A, procédez comme suit :

    1. Choisissez Autorisations.

    2. Assurez-vous que la politique A gérée par mazonEKSFargate PodExecutionRolePolicy Amazon est attachée au rôle.

    3. Choisissez Trust Relationships (Relations d'approbation).

    4. Choisissez Edit trust policy (Modifier la politique).

  5. Dans la page Edit trust policy (Modifier la politique), vérifiez que la relation d'approbation contient la politique suivante, ainsi qu'une ligne pour les profils Fargate sur votre cluster. Dans ce cas, sélectionnez Cancel (Annuler).

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    Si la politique correspond mais qu'aucune ligne ne spécifie les profils Fargate de votre cluster, vous pouvez ajouter la ligne suivante en haut de l'objet. ArnLike Remplacez region-code avec la AWS région dans laquelle se trouve votre cluster, 111122223333 avec votre identifiant de compte, et my-cluster avec le nom de votre cluster.

    "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",

    Si la politique ne correspond pas, copiez la politique précédente complète dans le formulaire et choisissez Mettre à jour la politique. Remplacez region-code avec la AWS région dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle dans toutes les AWS régions de votre compte, remplacez region-code avec *. Remplacez 111122223333 avec votre identifiant de compte et my-cluster avec le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacez my-cluster avec \*.

Création de l'Amazon EKS Pod rôle d’exécution

Si vous ne possédez pas encore l'Amazon EKS Pod rôle d'exécution pour votre cluster, vous pouvez utiliser le AWS Management Console ou le AWS CLI pour le créer.

AWS Management Console
  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, choisissez Rôles.

  3. Sur la page Rôles, choisissez Créer un rôle.

  4. Sur la page Select trusted entity (Sélectionner une entité de confiance), procédez comme suit :

    1. Dans la section Type d'entité fiable, sélectionnez AWS service.

    2. Dans la liste déroulante Cas d'utilisation pour d'autres AWS services, sélectionnez EKS.

    3. Choisissez EKS - Fargate Pod .

    4. Choisissez Suivant.

  5. Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).

  6. Sur la page Name, review, and create (Nommer, vérifier et créer), procédez comme suit :

    1. Pour Role name (Nom de rôle), saisissez un nom unique pour votre rôle, par exemple, AmazonEKSFargatePodExecutionRole.

    2. Sous Ajouter des balises (Facultatif), ajoutez des métadonnées au rôle en attachant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez les IAMressources relatives au balisage dans le guide de l'IAMutilisateur.

    3. Sélectionnez Créer un rôle.

  7. Sur la page Rôles, recherchez A dans la liste des rôles mazonEKSFargatePodExecutionRole. Choisissez le rôle.

  8. Sur la mazonEKSFargate PodExecutionRole page A, procédez comme suit :

    1. Choisissez Trust Relationships (Relations d'approbation).

    2. Choisissez Edit trust policy (Modifier la politique).

  9. Dans la page Edit trust policy (Modifier la politique), procédez comme suit :

    1. Copiez le contenu suivant et collez-le dans le formulaire Edit trust policy (Modifier la politique). Remplacez region-code avec la AWS région dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle dans toutes les AWS régions de votre compte, remplacez region-code avec *. Remplacez 111122223333 avec votre identifiant de compte et my-cluster avec le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacez my-cluster avec \*.

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. Choisissez Mettre à jour une politique.

AWS CLI
  1. Copiez le contenu suivant et collez-le dans un fichier nommé pod-execution-role-trust-policy.json. Remplacez region-code avec la AWS région dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle dans toutes les AWS régions de votre compte, remplacez region-code avec *. Remplacez 111122223333 avec votre identifiant de compte et my-cluster avec le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacez my-cluster avec \*.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Créez un Pod IAMrôle d'exécution.

    aws iam create-role \ --role-name AmazonEKSFargatePodExecutionRole \ --assume-role-policy-document file://"pod-execution-role-trust-policy.json"
  3. Associez la IAM politique EKS gérée par Amazon requise au rôle.

    aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \ --role-name AmazonEKSFargatePodExecutionRole