Aidez à améliorer cette page
Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôle IAM d'exécution de Pod Amazon EKS
Le rôle Pod d'exécution Amazon EKS est requis pour fonctionner Pods sur AWS Fargate l'infrastructure.
Lorsque votre cluster crée une Pods AWS Fargate infrastructure, les composants exécutés sur l'infrastructure Fargate doivent appeler les API en votre AWS nom. Cela leur permet d'effectuer des actions telles que l'extraction d'images de conteneurs depuis Amazon ECR ou le routage des journaux vers d'autres AWS services. Pour ce faire, le rôle d'exécution de Pod Amazon EKS fournit les autorisations IAM.
Lorsque vous créez un profil Fargate, vous devez spécifier un rôle d'exécution de Pod pour les composants Amazon EKS qui s'exécutent sur l'infrastructure Fargate utilisant le profil. Ce rôle est ajouté au contrôle d'accès basé sur les rôleskubelet
s'exécutant sur l'infrastructure Fargate de s'enregistrer dans votre cluster Amazon EKS, afin qu'il puisse apparaître dans votre cluster en tant que nœud.
Note
Le profil Fargate doit avoir un rôle IAM différent des groupes de nœuds Amazon EC2.
Important
Les conteneurs s'exécutant dans le Pod Fargate ne peuvent pas assumer les autorisations IAM associées à un rôle d'exécution de Pod. Pour autoriser les conteneurs de votre Pod Fargate à accéder à d' AWS autres services, vous devez utiliser. Rôles IAM pour les comptes de service
Avant de créer un profil Fargate, vous devez créer un rôle IAM avec l'AmazonEKSFargatePodExecutionRolePolicy
.
Recherche d'un rôle d'exécution de Pod existant correctement configuré
Vous pouvez utiliser la procédure suivante pour vérifier et voir si votre compte possède déjà un rôle d'exécution de Pod Amazon EKS correctement configuré. Pour éviter le problème de sécurité du député confus, il est important que le rôle restreigne l'accès en fonction de SourceArn
. Vous pouvez modifier le rôle d'exécution si nécessaire pour inclure la prise en charge des profils Fargate sur d'autres clusters.
Pour vérifier un rôle d'exécution de Pod Amazon EKS dans la console IAM
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de gauche, choisissez Rôles.
-
Sur la page Rôles, recherchez la liste des rôles pour Amazoneks. FargatePodExecutionRole Si le rôle n'existe pas, consultez Création du rôle d'exécution de Pod Amazon EKS pour le créer. Si le rôle existe, sélectionnez-le.
-
Sur la page FargatePodExecutionRoleAmazoneks, procédez comme suit :
-
Choisissez Autorisations.
-
Assurez-vous que la politique gérée par Amazon FargatePodExecutionRolePolicy Amazoneks est attachée au rôle.
-
Choisissez Trust Relationships (Relations d'approbation).
-
Choisissez Edit trust policy (Modifier la politique).
-
-
Dans la page Edit trust policy (Modifier la politique), vérifiez que la relation d'approbation contient la politique suivante, ainsi qu'une ligne pour les profils Fargate sur votre cluster. Dans ce cas, sélectionnez Cancel (Annuler).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Si la politique correspond, mais ne possède pas de ligne spécifiant les profils Fargate sur votre cluster, vous pouvez ajouter la ligne suivante en haut de l'objet
ArnLike
. Remplacez
par la Région AWS dans laquelle se trouve votre cluster,region-code
par l'ID de votre compte et111122223333
par le nom de votre cluster.my-cluster
"aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*",Si la politique ne correspond pas, copiez entièrement la politique précédente dans le formulaire et choisissez Mettre à jour une politique. Remplacez
par la Région AWS dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle Régions AWS dans tous les éléments de votre compte, remplacez leregion-code
code de région us-iso-east
par.*
Remplacez
par l'ID de votre compte et111122223333
par le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacezmy-cluster
parmy-cluster
*
.
Création du rôle d'exécution de Pod Amazon EKS
Si vous ne possédez pas encore le rôle Pod d'exécution Amazon EKS pour votre cluster, vous pouvez utiliser le AWS Management Console ou le AWS CLI pour le créer.