**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# IAM role simpul Amazon EKS
`kubelet`Daemon simpul Amazon EKS melakukan panggilan ke AWS APIs atas nama Anda. Simpul menerima izin untuk panggilan API ini melalui profil instans IAM dan kebijakan terkait. Sebelum Anda dapat memulai node dan mendaftarkannya ke sebuah klaster, Anda harus membuat IAM role untuk node tersebut agar digunakan saat node diluncurkan. Persyaratan ini berlaku untuk node yang diluncurkan dengan AMI Amazon EKS yang dioptimalkan yang disediakan oleh Amazon, atau dengan node lain AMIs yang ingin Anda gunakan. Selain itu, persyaratan ini berlaku untuk grup node terkelola dan node yang dikelola sendiri.
**catatan**
Anda tidak dapat menggunakan peran yang sama yang digunakan untuk membuat cluster apa pun.
Sebelum membuat node, Anda harus membuat peran IAM dengan izin berikut:
+ Izin `kubelet` untuk mendeskripsikan EC2 sumber daya Amazon di VPC, seperti yang disediakan oleh kebijakan [Amazon EKSWorker NodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodePolicy.html). Kebijakan ini juga memberikan izin untuk Agen Identitas Pod Amazon EKS.
+ [Izin `kubelet` untuk menggunakan gambar kontainer dari Amazon Elastic Container Registry (Amazon ECR) Registry ECR), seperti yang disediakan oleh kebijakan Amazon. EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html) Izin untuk menggunakan image kontainer dari Amazon Elastic Container Registry (Amazon ECR) diperlukan karena add-on bawaan untuk pod yang menjalankan jaringan yang menggunakan image kontainer dari Amazon ECR.
+ (Opsional) Izin untuk Amazon EKS Pod Identity Agent untuk menggunakan `eks-auth:AssumeRoleForPodIdentity` action tersebut guna mengambil kredensial Pod. Jika Anda tidak menggunakan [Amazon EKSWorker NodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodePolicy.html), maka Anda harus memberikan izin ini selain EC2 izin untuk menggunakan EKS Pod Identity.
+ (Opsional) Jika Anda tidak menggunakan IRSA atau EKS Pod Identity untuk memberikan izin ke pod VPC CNI, maka Anda harus memberikan izin untuk VPC CNI pada peran instance. Anda dapat menggunakan kebijakan [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html)terkelola (jika Anda membuat klaster dengan `IPv4` keluarga) atau [IPv6 kebijakan yang Anda buat](cni-iam-role.md#cni-iam-role-create-ipv6-policy) (jika Anda membuat klaster dengan `IPv6` keluarga). Namun, alih-alih melampirkan kebijakan ke peran ini, sebaiknya Anda melampirkan kebijakan tersebut ke peran terpisah yang digunakan khusus untuk add-on Amazon VPC CNI. Untuk informasi selengkapnya tentang membuat peran terpisah untuk add-on Amazon VPC CNI, lihat. [Konfigurasikan plugin Amazon VPC CNI untuk menggunakan IRSA](cni-iam-role.md)
**catatan**
Grup EC2 node Amazon harus memiliki peran IAM yang berbeda dari profil Fargate. Untuk informasi selengkapnya, lihat [Peran IAM eksekusi Pod Amazon EKS](pod-execution-role.md).
## Periksa apakah peran simpul sudah ada
Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran simpul Amazon EKS.
1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Cari daftar peran untuk`eksNodeRole`,`AmazonEKSNodeRole`, atau`NodeInstanceRole`. Jika peran dengan salah satu nama itu tidak ada, maka lihat [Membuat IAM role simpul Amazon EKS](#create-worker-node-role) untuk membuat peran tersebut. Jika peran yang berisi`eksNodeRole`,`AmazonEKSNodeRole`, atau `NodeInstanceRole` memang ada, maka pilih peran untuk melihat kebijakan terlampir.
1. Pilih **Izin**.
1. Pastikan kebijakan EC2 ContainerRegistryPullOnly terkelola **Amazon EKSWorker NodePolicy** **dan Amazon** dilampirkan ke peran atau kebijakan khusus dilampirkan dengan izin minimal.
**catatan**
Jika kebijakan **AmazonEKS\$1CNI\$1Policy** terlampir pada peran, sebaiknya hapus dan lampirkan kebijakan tersebut ke IAM role yang dipetakan ke akun layanan `aws-node` Kubernetes sebagai gantinya. Untuk informasi selengkapnya, lihat [Konfigurasikan plugin Amazon VPC CNI untuk menggunakan IRSA](cni-iam-role.md).
1. Pilih **Trust relationship**, lalu pilih **Edit trust policy**.
1. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih **Cancel** (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela **Edit kebijakan kepercayaan** dan pilih **Perbarui kebijakan**.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"ec2.amazonaws.com"
]
}
}
]
}
```
## Membuat IAM role simpul Amazon EKS
Anda dapat membuat peran IAM node dengan Konsol Manajemen AWS atau AWS CLI.
Konsol Manajemen AWS
1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pada halaman **Peran**, pilih **Buat peran**.
1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:
1. Di bagian **Jenis entitas tepercaya**, pilih ** AWS layanan**.
1. Di bawah **Kasus penggunaan**, pilih **EC2**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, lampirkan kebijakan khusus atau lakukan hal berikut:
1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonEKSWorkerNodePolicy`.
1. Pilih kotak centang di sebelah kiri **Amazon EKSWorker NodePolicy** di hasil pencarian.
1. Pilih **Hapus filter**.
1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonEC2ContainerRegistryPullOnly`.
1. Pilih kotak centang di sebelah kiri **Amazon EC2 ContainerRegistryPullOnly** di hasil pencarian.
[Kebijakan terkelola **Amazoneks\$1CNI\$1Policy**, atau kebijakan yang Anda buat juga harus dilampirkan pada peran ini atau IPv6 peran lain yang dipetakan ke akun layanan Kubernetes.](cni-iam-role.md#cni-iam-role-create-ipv6-policy) `aws-node` Sebaiknya tetapkan kebijakan ke peran yang terkait dengan akun layanan Kubernetes, alih-alih menugaskannya ke peran ini. Untuk informasi selengkapnya, lihat [Konfigurasikan plugin Amazon VPC CNI untuk menggunakan IRSA](cni-iam-role.md).
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, lakukan hal berikut:
1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`AmazonEKSNodeRole`.
1. Untuk **Deskripsi**, ganti teks saat ini dengan teks deskriptif seperti`Amazon EKS - Node role`.
1. Di bawah **Tambahkan tag (Opsional)**, tambahkan metadata ke peran dengan melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tanda di IAM, lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.
1. Pilih **Buat peran**.
AWS CLI
1. Jalankan perintah berikut untuk membuat `node-role-trust-relationship.json` file.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Principal": {
"Service": [
"ec2.amazonaws.com"
]
}
}
]
}
```
1. Buat peran IAM.
```
aws iam create-role \
--role-name AmazonEKSNodeRole \
--assume-role-policy-document file://"node-role-trust-relationship.json"
```
1. Lampirkan dua kebijakan terkelola IAM yang diperlukan ke peran IAM.
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSWorkerNodePolicy \
--role-name AmazonEKSNodeRole
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly \
--role-name AmazonEKSNodeRole
```
1. Lampirkan salah satu kebijakan IAM berikut ke peran IAM tergantung pada keluarga IP mana Anda membuat klaster. Kebijakan harus dilampirkan ke peran ini atau ke peran yang terkait dengan akun `aws-node` layanan Kubernetes yang digunakan untuk plugin Amazon VPC CNI untuk Kubernetes. Sebaiknya tugaskan kebijakan ke dalam peran yang terkait dengan akun layanan Kubernetes. Untuk menetapkan kebijakan ke peran yang terkait dengan akun layanan Kubernetes, lihat. [Konfigurasikan plugin Amazon VPC CNI untuk menggunakan IRSA](cni-iam-role.md)
+ IPv4
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEKS_CNI_Policy \
--role-name AmazonEKSNodeRole
```
+ IPv6
1. Salin teks berikut dan simpan ke file bernama `vpc-cni-ipv6-policy.json`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AssignIpv6Addresses",
"ec2:DescribeInstances",
"ec2:DescribeTags",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeInstanceTypes"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
]
}
]
}
```
1. Buat kebijakan IAM.
```
aws iam create-policy --policy-name AmazonEKS_CNI_IPv6_Policy --policy-document file://vpc-cni-ipv6-policy.json
```
1. Lampirkan kebijakan IAM ke peran IAM. Ganti *111122223333* dengan ID akun Anda.
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \
--role-name AmazonEKSNodeRole
```