Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMPeran EKS cluster Amazon
IAMPeran EKS klaster Amazon diperlukan untuk setiap cluster. Kubernetes cluster yang dikelola oleh Amazon EKS menggunakan peran ini untuk mengelola node dan Cloud Provider lama
Sebelum Anda dapat membuat EKS klaster Amazon, Anda harus membuat IAM peran dengan salah satu IAM kebijakan berikut:
-
IAMKebijakan khusus. Izin minimal yang mengikuti memungkinkan Kubernetes cluster untuk mengelola node, tetapi tidak mengizinkan Cloud Provider lama
untuk membuat load balancer dengan Elastic Load Balancing. IAMKebijakan kustom Anda harus memiliki setidaknya izin berikut: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws: ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceTopology", "kms:DescribeKey" ], "Resource": "*" } ] }
catatan
Sebelum 3 Oktober 2023, mazonEKSClusterKebijakan diperlukan tentang IAM peran untuk setiap cluster.
Sebelum 16 April 2020, mazonEKSServiceKebijakan dan Kebijakan diperlukan dan nama yang disarankan untuk peran tersebut adalaheksServiceRole
. mazonEKSCluster Dengan peran AWSServiceRoleForAmazonEKS
terkait layanan, mazonEKSServicekebijakan Kebijakan A tidak lagi diperlukan untuk klaster yang dibuat pada atau setelah 16 April 2020.
Periksa apakah peran klaster sudah ada
Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran EKS cluster Amazon.
-
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi sebelah kiri, pilih Peran.
-
Cari daftar peran untuk
eksClusterRole
. Jika peran yang menyertakaneksClusterRole
tidak ada, maka lihat Membuat peran EKS cluster Amazon untuk membuat peran tersebut. Jika peran yang mencakupeksClusterRole
ada, kemudian pilih peran untuk melihat kebijakan terlampir. -
Pilih Izin.
-
Pastikan mazonEKSClusterkebijakan yang dikelola Kebijakan A melekat pada peran tersebut. Jika kebijakan dilampirkan, peran EKS klaster Amazon Anda dikonfigurasi dengan benar.
-
Pilih Trust relationship, lalu pilih Edit trust policy.
-
Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih Cancel (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela Edit kebijakan kepercayaan dan pilih Perbarui kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Membuat peran EKS cluster Amazon
Anda dapat menggunakan AWS Management Console atau AWS CLI untuk membuat peran cluster.
- AWS Management Console
-
-
Buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Pilih Peran, kemudian Buat peran.
-
Di bawah Jenis entitas tepercaya, pilih AWS layanan.
-
Dari daftar tarik-turun Kasus penggunaan untuk AWS layanan lain, pilih. EKS
-
Pilih EKS- Cluster untuk kasus penggunaan Anda, lalu pilih Berikutnya.
-
Pada tab Tambahkan izin, pilih Berikutnya.
-
Untuk nama Peran, masukkan nama unik untuk peran Anda, seperti
eksClusterRole
. -
Untuk Deskripsi, masukkan teks deskriptif seperti
Amazon EKS - Cluster role
. -
Pilih Buat peran.
-
- AWS CLI
-
-
Salin konten berikut ke file bernama
cluster-trust-policy.json
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Buat peran. Anda dapat mengganti
eksClusterRole
dengan nama apa pun yang Anda pilih.aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
-
Lampirkan IAM kebijakan yang diperlukan ke peran tersebut.
aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole
-