IAMPeran EKS cluster Amazon - Amazon EKS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMPeran EKS cluster Amazon

IAMPeran EKS klaster Amazon diperlukan untuk setiap cluster. Kubernetes cluster yang dikelola oleh Amazon EKS menggunakan peran ini untuk mengelola node dan Cloud Provider lama menggunakan peran ini untuk membuat penyeimbang beban dengan Elastic Load Balancing untuk layanan.

Sebelum Anda dapat membuat EKS klaster Amazon, Anda harus membuat IAM peran dengan salah satu IAM kebijakan berikut:

  • Sebuah mazonEKSCluster Kebijakan

  • IAMKebijakan khusus. Izin minimal yang mengikuti memungkinkan Kubernetes cluster untuk mengelola node, tetapi tidak mengizinkan Cloud Provider lama untuk membuat load balancer dengan Elastic Load Balancing. IAMKebijakan kustom Anda harus memiliki setidaknya izin berikut:

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws: ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceTopology", "kms:DescribeKey" ], "Resource": "*" } ] }
catatan

Sebelum 3 Oktober 2023, mazonEKSClusterKebijakan diperlukan tentang IAM peran untuk setiap cluster.

Sebelum 16 April 2020, mazonEKSServiceKebijakan dan Kebijakan diperlukan dan nama yang disarankan untuk peran tersebut adalaheksServiceRole. mazonEKSCluster Dengan peran AWSServiceRoleForAmazonEKS terkait layanan, mazonEKSServicekebijakan Kebijakan A tidak lagi diperlukan untuk klaster yang dibuat pada atau setelah 16 April 2020.

Periksa apakah peran klaster sudah ada

Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran EKS cluster Amazon.

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi sebelah kiri, pilih Peran.

  3. Cari daftar peran untuk eksClusterRole. Jika peran yang menyertakan eksClusterRole tidak ada, maka lihat Membuat peran EKS cluster Amazon untuk membuat peran tersebut. Jika peran yang mencakup eksClusterRole ada, kemudian pilih peran untuk melihat kebijakan terlampir.

  4. Pilih Izin.

  5. Pastikan mazonEKSClusterkebijakan yang dikelola Kebijakan A melekat pada peran tersebut. Jika kebijakan dilampirkan, peran EKS klaster Amazon Anda dikonfigurasi dengan benar.

  6. Pilih Trust relationship, lalu pilih Edit trust policy.

  7. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih Cancel (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela Edit kebijakan kepercayaan dan pilih Perbarui kebijakan.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Membuat peran EKS cluster Amazon

Anda dapat menggunakan AWS Management Console atau AWS CLI untuk membuat peran cluster.

AWS Management Console
  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pilih Peran, kemudian Buat peran.

  3. Di bawah Jenis entitas tepercaya, pilih AWS layanan.

  4. Dari daftar tarik-turun Kasus penggunaan untuk AWS layanan lain, pilih. EKS

  5. Pilih EKS- Cluster untuk kasus penggunaan Anda, lalu pilih Berikutnya.

  6. Pada tab Tambahkan izin, pilih Berikutnya.

  7. Untuk nama Peran, masukkan nama unik untuk peran Anda, sepertieksClusterRole.

  8. Untuk Deskripsi, masukkan teks deskriptif sepertiAmazon EKS - Cluster role.

  9. Pilih Buat peran.

AWS CLI
  1. Salin konten berikut ke file bernama cluster-trust-policy.json.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Buat peran. Anda dapat mengganti eksClusterRole dengan nama apa pun yang Anda pilih.

    aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
  3. Lampirkan IAM kebijakan yang diperlukan ke peran tersebut.

    aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole