Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Activer IAM les rôles pour les comptes de service (IRSA) sur le EKS cluster
La fonctionnalité IAM des rôles pour les comptes de service est disponible sur EKS les versions 1.14 et ultérieures d'Amazon et pour les EKS clusters mis à jour vers les versions 1.13 ou ultérieures le 3 septembre 2019 ou après cette date. Pour utiliser cette fonctionnalité, vous pouvez mettre à jour les EKS clusters existants vers la version 1.14 ou ultérieure. Pour plus d'informations, consultez Mettre à jour une version Kubernetes d'un EKS cluster Amazon.
Si votre cluster prend en charge les IAM rôles pour les comptes de service, un émetteur OpenID Connect
Important
Vous devez utiliser la dernière version de AWS CLI pour obtenir le résultat approprié de cette commande.
aws eks describe-cluster --name
cluster_name
--query "cluster.identity.oidc.issuer" --output text
Le résultat attendu est le suivant.
https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E
Pour utiliser IAM des rôles pour les comptes de service de votre cluster, vous devez créer un fournisseur d'OIDCidentité à l'aide de eksctl ou du. AWS Management Console
Pour créer un fournisseur IAM OIDC d'identité pour votre cluster avec eksctl
Vous pouvez vérifier la version de votre eksctl
à l'aide de la commande suivante. Cette procédure suppose que vous avez installé eksctl
et que votre version eksctl
est 0.32.0 ou une version ultérieure.
eksctl version
Pour plus d'informations sur l'installation ou la mise à niveau d'eksctl, consultez la rubrique Installation ou mise à niveau d'eksctl.
Créez votre fournisseur OIDC d'identité pour votre cluster à l'aide de la commande suivante. Remplacez cluster_name
avec votre propre valeur.
eksctl utils associate-iam-oidc-provider --cluster
cluster_name
--approve
Pour créer un fournisseur IAM OIDC d'identité pour votre cluster à l'aide du AWS Management Console
Récupérez l'OIDCémetteur URL dans la description de votre cluster sur la EKS console Amazon ou utilisez la AWS CLI commande suivante.
Utilisez la commande suivante pour récupérer l'OIDCémetteur URL à partir du AWS CLI.
aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text
Suivez les étapes ci-dessous pour récupérer l'OIDCémetteur URL depuis la EKS console Amazon.
-
Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le volet de navigation, choisissez Fournisseurs d'identité, puis Créer un fournisseur.
-
Sous Provider Type (Type de fournisseur), choisissez Choose a provider type (Choisir un type de fournisseur), puis choisissez OpenID Connect.
-
Pour Provider URL, collez l'OIDCémetteur URL de votre cluster.
-
Pour Public ciblé, saisissez sts.amazonaws.com et choisissez Étape suivante.
-
-
Vérifiez que les informations du fournisseur sont correctes, puis choisissez Créer (Create) pour créer votre fournisseur d'identité.