Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Ingin berkontribusi pada panduan pengguna ini? Pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAM role klaster Amazon EKS
Peran IAM cluster Amazon EKS diperlukan untuk setiap cluster. Kubernetes cluster yang dikelola oleh Amazon EKS menggunakan peran ini untuk mengelola node dan Cloud Provider lama
Sebelum Anda dapat membuat klaster Amazon EKS, Anda harus membuat peran IAM dengan salah satu kebijakan IAM berikut:
-
Kebijakan IAM khusus. Izin minimal yang mengikuti memungkinkan Kubernetes cluster untuk mengelola node, tetapi tidak mengizinkan Penyedia Cloud lama
untuk membuat penyeimbang beban dengan Elastic Load Balancing. Kebijakan IAM kustom Anda harus memiliki setidaknya izin berikut: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws: ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceTopology", "kms:DescribeKey" ], "Resource": "*" } ] }
catatan
Sebelum 3 Oktober 2023, EKSClusterKebijakan Amazon diperlukan pada peran IAM untuk setiap cluster.
Sebelum 16 April 2020, EKSServiceKebijakan Amazon dan EKSCluster Kebijakan Amazon diperlukan dan nama yang disarankan untuk peran tersebut adalaheksServiceRole
. Dengan peran AWSServiceRoleForAmazonEKS
terkait layanan, EKSServicekebijakan Kebijakan Amazon tidak lagi diperlukan untuk klaster yang dibuat pada atau setelah 16 April 2020.
Periksa apakah peran klaster sudah ada
Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran klaster Amazon EKS.
-
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Di panel navigasi sebelah kiri, pilih Peran.
-
Cari daftar peran untuk
eksClusterRole
. Jika peran yang menyertakaneksClusterRole
tidak ada, maka lihat Membuat peran klaster Amazon EKS untuk membuat peran tersebut. Jika peran yang mencakupeksClusterRole
ada, kemudian pilih peran untuk melihat kebijakan terlampir. -
Pilih Izin.
-
Pastikan kebijakan terkelola EKSClusterKebijakan Amazon dilampirkan pada peran tersebut. Jika kebijakan terlampir, tandanya peran klaster Amazon EKS Anda dikonfigurasi dengan benar.
-
Pilih Trust relationship, lalu pilih Edit trust policy.
-
Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih Cancel (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela Edit kebijakan kepercayaan dan pilih Perbarui kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Membuat peran klaster Amazon EKS
Anda dapat menggunakan AWS Management Console atau AWS CLI untuk membuat peran cluster.
- AWS Management Console
-
-
Buka konsol IAM di https://console.aws.amazon.com/iam/
. -
Pilih Peran, kemudian Buat peran.
-
Di bawah Jenis entitas tepercaya, pilih AWS layanan.
-
Dari daftar dropdown Use case for other AWS services, pilih EKS.
-
Pilih EKS - Cluster untuk kasus penggunaan Anda, lalu pilih Berikutnya.
-
Pada tab Tambahkan izin, pilih Berikutnya.
-
Untuk nama Peran, masukkan nama unik untuk peran Anda, seperti
eksClusterRole
. -
Untuk Deskripsi, masukkan teks deskriptif seperti
Amazon EKS - Cluster role
. -
Pilih Buat peran.
-
- AWS CLI
-
-
Salin isi berikut ke file bernama
cluster-trust-policy.json
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Buat peran. Anda dapat mengganti
eksClusterRole
dengan nama apa pun yang Anda pilih.aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
-
Lampirkan kebijakan IAM yang diperlukan ke peran tersebut.
aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole
-