Activer IAM les rôles pour les comptes de service (IRSA) sur le EKS cluster - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer IAM les rôles pour les comptes de service (IRSA) sur le EKS cluster

La fonctionnalité IAM des rôles pour les comptes de service est disponible sur EKS les versions 1.14 et ultérieures d'Amazon et pour les EKS clusters mis à jour vers les versions 1.13 ou ultérieures le 3 septembre 2019 ou après cette date. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les EKS clusters existants vers la version 1.14 ou ultérieure. Pour plus d'informations, consultez Mettre à jour une version Kubernetes d'un EKS cluster Amazon.

Si votre cluster prend en charge les IAM rôles pour les comptes de service, un émetteur OpenID Connect lui est URL associé. Vous pouvez le consulter URL dans la EKS console Amazon ou utiliser la AWS CLI commande suivante pour le récupérer.

Important

Vous devez utiliser la dernière version de AWS CLI pour obtenir le résultat approprié de cette commande.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

Le résultat attendu est le suivant.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Pour utiliser IAM des rôles pour les comptes de service de votre cluster, vous devez créer un fournisseur d'OIDCidentité à l'aide de eksctl ou du. AWS Management Console

Pour créer un fournisseur IAM OIDC d'identité pour votre cluster avec eksctl

Vous pouvez vérifier la version de votre eksctl à l'aide de la commande suivante. Cette procédure suppose que vous avez installé eksctl et que votre version eksctl est 0.32.0 ou une version ultérieure.

eksctl version

Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, consultez la rubrique Installation ou mise à niveau d'eksctl.

Créez votre fournisseur OIDC d'identité pour votre cluster à l'aide de la commande suivante. Remplacez cluster_name avec votre propre valeur.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Pour créer un fournisseur IAM OIDC d'identité pour votre cluster à l'aide du AWS Management Console

Récupérez l'OIDCémetteur URL dans la description de votre cluster sur la EKS console Amazon ou utilisez la AWS CLI commande suivante.

Utilisez la commande suivante pour récupérer l'OIDCémetteur URL à partir du AWS CLI.

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Suivez les étapes ci-dessous pour récupérer l'OIDCémetteur URL depuis la EKS console Amazon.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Fournisseurs d'identité, puis Créer un fournisseur.

    1. Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.

    2. Pour Provider URL, collez l'OIDCémetteur URL de votre cluster.

    3. Pour Public ciblé, saisissez sts.amazonaws.com et choisissez Étape suivante.

  3. Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.