IAM role klaster Amazon EKS - Amazon EKS

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAM role klaster Amazon EKS

Peran IAM cluster Amazon EKS diperlukan untuk setiap cluster. Kubernetes cluster yang dikelola oleh Amazon EKS menggunakan peran ini untuk mengelola node dan Cloud Provider lama menggunakan peran ini untuk membuat penyeimbang beban dengan Elastic Load Balancing untuk layanan.

Sebelum Anda dapat membuat klaster Amazon EKS, Anda harus membuat peran IAM dengan salah satu kebijakan IAM berikut:

  • EKSClusterKebijakan Amazon

  • Kebijakan IAM khusus. Izin minimal yang mengikuti memungkinkan Kubernetes cluster untuk mengelola node, tetapi tidak mengizinkan Penyedia Cloud lama untuk membuat penyeimbang beban dengan Elastic Load Balancing. Kebijakan IAM kustom Anda harus memiliki setidaknya izin berikut:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws: ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceTopology", "kms:DescribeKey" ], "Resource": "*" } ] }
catatan

Sebelum 3 Oktober 2023, EKSClusterKebijakan Amazon diperlukan pada peran IAM untuk setiap cluster.

Sebelum 16 April 2020, EKSServiceKebijakan Amazon dan EKSCluster Kebijakan Amazon diperlukan dan nama yang disarankan untuk peran tersebut adalaheksServiceRole. Dengan peran AWSServiceRoleForAmazonEKS terkait layanan, EKSServicekebijakan Kebijakan Amazon tidak lagi diperlukan untuk klaster yang dibuat pada atau setelah 16 April 2020.

Periksa apakah peran klaster sudah ada

Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran klaster Amazon EKS.

  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Peran.

  3. Cari daftar peran untuk eksClusterRole. Jika peran yang menyertakan eksClusterRole tidak ada, maka lihat Membuat peran klaster Amazon EKS untuk membuat peran tersebut. Jika peran yang mencakup eksClusterRole ada, kemudian pilih peran untuk melihat kebijakan terlampir.

  4. Pilih Izin.

  5. Pastikan kebijakan terkelola EKSClusterKebijakan Amazon dilampirkan pada peran tersebut. Jika kebijakan terlampir, tandanya peran klaster Amazon EKS Anda dikonfigurasi dengan benar.

  6. Pilih Trust relationship, lalu pilih Edit trust policy.

  7. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih Cancel (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela Edit kebijakan kepercayaan dan pilih Perbarui kebijakan.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Membuat peran klaster Amazon EKS

Anda dapat menggunakan AWS Management Console atau AWS CLI untuk membuat peran cluster.

AWS Management Console
  1. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pilih Peran, kemudian Buat peran.

  3. Di bawah Jenis entitas tepercaya, pilih AWS layanan.

  4. Dari daftar dropdown Use case for other AWS services, pilih EKS.

  5. Pilih EKS - Cluster untuk kasus penggunaan Anda, lalu pilih Berikutnya.

  6. Pada tab Tambahkan izin, pilih Berikutnya.

  7. Untuk nama Peran, masukkan nama unik untuk peran Anda, sepertieksClusterRole.

  8. Untuk Deskripsi, masukkan teks deskriptif sepertiAmazon EKS - Cluster role.

  9. Pilih Buat peran.

AWS CLI
  1. Salin isi berikut ke file bernama cluster-trust-policy.json.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Buat peran. Anda dapat mengganti eksClusterRole dengan nama apa pun yang Anda pilih.

    aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
  3. Lampirkan kebijakan IAM yang diperlukan ke peran tersebut.

    aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole