Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Siapkan kredensil untuk node hybrid

PDF
RSS
Mode fokus
Siapkan kredensil untuk node hybrid - Amazon EKS
Peran IAM Node HibridaSiapkan AWS aktivasi hibrida SSMSiapkan Peran AWS IAM Di Mana SajaBuat peran IAM Hybrid Nodes

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Amazon EKS Hybrid Nodes menggunakan kredenal IAM sementara yang disediakan oleh aktivasi hybrid AWS SSM atau AWS Peran IAM Anywhere untuk mengautentikasi dengan kluster Amazon EKS. Anda harus menggunakan aktivasi hibrida AWS SSM atau Peran AWS IAM Di Mana Saja dengan Amazon EKS Hybrid Nodes CLI (). nodeadm Anda tidak boleh menggunakan aktivasi hibrida AWS SSM dan Peran AWS IAM Di Mana Saja. Disarankan untuk menggunakan aktivasi hibrida AWS SSM jika Anda tidak memiliki Infrastruktur Kunci Publik (PKI) dengan Otoritas Sertifikat (CA) dan sertifikat untuk lingkungan lokal Anda. Jika Anda memiliki PKI dan sertifikat yang ada di lokasi, gunakan Peran AWS IAM Di Mana Saja.

Peran IAM Node Hibrida

Sebelum Anda dapat menghubungkan node hybrid ke cluster Amazon EKS Anda, Anda harus membuat peran IAM yang akan digunakan dengan aktivasi hibrida AWS SSM atau Peran AWS IAM Anywhere untuk kredenal node hybrid Anda. Setelah pembuatan klaster, Anda akan menggunakan peran ini dengan entri akses Amazon EKS atau aws-auth ConfigMap entri untuk memetakan peran IAM ke Kubernetes Role-Based Access Control (RBAC). Untuk informasi lebih lanjut tentang mengaitkan peran IAM Hybrid Nodes dengan Kubernetes RBAC, lihat. Mempersiapkan akses cluster untuk node hybrid

Peran IAM Hybrid Nodes harus memiliki izin berikut.

Siapkan AWS aktivasi hibrida SSM

Sebelum menyiapkan aktivasi hybrid AWS SSM, Anda harus memiliki peran IAM Hybrid Nodes yang dibuat dan dikonfigurasi. Untuk informasi selengkapnya, lihat Buat peran IAM Hybrid Nodes. Ikuti petunjuk di Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager di Panduan Pengguna AWS Systems Manager untuk membuat aktivasi hibrida AWS SSM untuk node hybrid Anda. Kode Aktivasi dan ID yang Anda terima digunakan nodeadm saat Anda mendaftarkan host Anda sebagai node hibrida dengan kluster Amazon EKS Anda. Anda dapat kembali ke langkah ini di lain waktu setelah Anda membuat dan menyiapkan kluster Amazon EKS Anda untuk node hibrida.

penting

Systems Manager akan segera mengembalikan Kode Aktivasi dan ID ke konsol atau jendela perintah, tergantung pada bagaimana Anda membuat aktivasi. Salin informasi ini dan simpan di tempat yang aman. Jika Anda menavigasi keluar dari konsol atau menutup jendela perintah, Anda mungkin kehilangan informasi ini. Jika Anda kehilangannya, Anda harus membuat aktivasi baru.

Secara default, aktivasi hibrida AWS SSM aktif selama 24 jam. Anda juga dapat menentukan --expiration-date kapan Anda membuat aktivasi hibrida dalam format stempel waktu, seperti. 2024-08-01T00:00:00 Saat Anda menggunakan AWS SSM sebagai penyedia kredensi Anda, nama node untuk node hibrida Anda tidak dapat dikonfigurasi, dan dibuat secara otomatis oleh SSM. AWS Anda dapat melihat dan mengelola Instans Terkelola AWS SSM di konsol AWS Systems Manager di bawah Fleet Manager. Anda dapat mendaftarkan hingga 1.000 node standar yang diaktifkan hibrida per akun per AWS Wilayah tanpa biaya tambahan. Namun, mendaftarkan lebih dari 1.000 node hybrid mengharuskan Anda mengaktifkan tingkat instance lanjutan. Ada biaya untuk menggunakan tingkat instans lanjutan yang tidak termasuk dalam harga Amazon EKS Hybrid Nodes. Untuk informasi selengkapnya, lihat Harga AWS Systems Manager.

Lihat contoh di bawah ini untuk cara membuat aktivasi hybrid AWS SSM dengan peran IAM Hybrid Nodes Anda. Saat Anda menggunakan aktivasi hibrida AWS SSM untuk kredensil node hibrida Anda, nama-nama node hibrida Anda akan memiliki format mi-012345678abcdefgh dan kredenal sementara yang disediakan oleh SSM berlaku selama 1 jam. AWS Anda tidak dapat mengubah nama node atau durasi kredensi saat menggunakan AWS SSM sebagai penyedia kredensi Anda. Kredensi sementara secara otomatis diputar oleh AWS SSM dan rotasi tidak memengaruhi status node atau aplikasi Anda.

Disarankan untuk menggunakan satu aktivasi hibrida AWS SSM per kluster EKS untuk mencakup ssm:DeregisterManagedInstance izin AWS SSM dari peran IAM Hybrid Nodes untuk hanya dapat membatalkan pendaftaran instance yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam contoh di halaman ini, tag dengan ARN cluster EKS digunakan, yang dapat digunakan untuk memetakan aktivasi hibrida AWS SSM Anda ke cluster EKS. Sebagai alternatif, Anda dapat menggunakan tag dan metode pilihan Anda untuk melingkupi izin AWS SSM berdasarkan batasan dan persyaratan izin Anda. REGISTRATION_LIMITOpsi dalam perintah di bawah ini adalah bilangan bulat yang digunakan untuk membatasi jumlah mesin yang dapat menggunakan aktivasi hibrida AWS SSM (misalnya) 10

aws ssm create-activation \
     --region AWS_REGION \
     --default-instance-name eks-hybrid-nodes \
     --description "Activation for EKS hybrid nodes" \
     --iam-role AmazonEKSHybridNodesRole \
     --tags Key=EKSClusterARN,Value=arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
     --registration-limit REGISTRATION_LIMIT

Tinjau instruksi tentang Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager untuk informasi lebih lanjut tentang pengaturan konfigurasi yang tersedia untuk aktivasi hibrida AWS SSM.

Siapkan Peran AWS IAM Di Mana Saja

Ikuti petunjuk di Memulai Peran IAM Di Mana Saja di Panduan Pengguna IAM Roles Anywhere untuk menyiapkan jangkar kepercayaan dan profil yang akan Anda gunakan untuk kredenal IAM sementara untuk peran IAM Hybrid Nodes Anda. Saat Anda membuat profil, Anda dapat membuatnya tanpa menambahkan peran apa pun. Anda dapat membuat profil ini, kembali ke langkah-langkah ini untuk membuat peran IAM Hybrid Nodes Anda, dan kemudian menambahkan peran Anda ke profil Anda setelah dibuat. Anda dapat menggunakan AWS CloudFormation langkah-langkah selanjutnya di halaman ini untuk menyelesaikan penyiapan IAM Roles Anywhere Anda untuk node hybrid.

Saat Anda menambahkan peran IAM Hybrid Nodes ke profil Anda, pilih Terima nama sesi peran kustom di panel Nama sesi peran kustom di bagian bawah halaman Edit profil di konsol AWS IAM Roles Anywhere. Ini sesuai dengan bidang acceptRoleSessionNama CreateProfile API. Ini memungkinkan Anda untuk memberikan nama node khusus untuk node hybrid Anda dalam konfigurasi yang Anda berikan nodeadm selama proses bootstrap. Meneruskan nama node kustom selama nodeadm init proses diperlukan. Anda dapat memperbarui profil Anda untuk menerima nama sesi peran khusus setelah membuat profil Anda.

Anda dapat mengonfigurasi durasi validitas kredensi dengan AWS IAM Roles Anywhere melalui bidang DurationSeconds pada profil IAM Roles Anywhere Anda. AWS Durasi default adalah 1 jam dengan maksimal 12 jam. MaxSessionDurationPengaturan pada peran IAM Hybrid Nodes Anda harus lebih besar dari durationSeconds pengaturan pada profil AWS IAM Roles Anywhere Anda. Untuk informasi selengkapnyaMaxSessionDuration, lihat dokumentasi UpdateRole API.

Sertifikat dan kunci per mesin yang Anda hasilkan dari otoritas sertifikat (CA) Anda harus ditempatkan di /etc/iam/pki direktori pada setiap node hibrida dengan nama file server.pem untuk sertifikat dan server.key untuk kunci.

Buat peran IAM Hybrid Nodes

Untuk menjalankan langkah-langkah di bagian ini, prinsipal IAM yang menggunakan AWS konsol atau AWS CLI harus memiliki izin berikut.

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:AttachRolePolicy

  • Jika menggunakan Peran AWS IAM Di Mana Saja

    • rolesanywhere:CreateTrustAnchor

    • rolesanywhere:CreateProfile

    • iam:PassRole

AWS CloudFormation

Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Lihat Menginstal atau memperbarui ke versi terakhir AWS CLI.

Langkah-langkah untuk aktivasi hibrida AWS SSM

CloudFormation Tumpukan membuat Peran IAM Hybrid Nodes dengan izin yang diuraikan di atas. CloudFormation Template tidak membuat aktivasi hibrida AWS SSM.

  1. Unduh CloudFormation template AWS SSM untuk node hybrid:

    curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'

  2. Buat cfn-ssm-parameters.json dengan opsi berikut:

    1. Ganti ROLE_NAME dengan nama untuk peran IAM Hybrid Nodes Anda. Secara default, CloudFormation template digunakan AmazonEKSHybridNodesRole sebagai nama peran yang dibuatnya jika Anda tidak menentukan nama.

    2. Ganti TAG_KEY dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes ssm:DeregisterManagedInstance untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam CloudFormation template, TAG_KEY default ke. EKSClusterARN

    3. Ganti TAG_VALUE dengan nilai tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes ssm:DeregisterManagedInstance untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Jika Anda menggunakan default TAG_KEY dariEKSClusterARN, maka berikan ARN cluster EKS Anda sebagai ARN. TAG_VALUE Kluster EKS ARNs memiliki formatarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "SSMDeregisterConditionTagKey": "TAG_KEY",
    "SSMDeregisterConditionTagValue": "TAG_VALUE"
  }
}

  3. Menyebarkan CloudFormation tumpukan. Ganti STACK_NAME dengan nama Anda untuk CloudFormation tumpukan.

    aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ssm-cfn.yaml \
    --parameter-overrides file://cfn-ssm-parameters.json \
    --capabilities CAPABILITY_NAMED_IAM

Langkah-langkah untuk Peran AWS IAM Di Mana Saja

CloudFormation Tumpukan membuat jangkar kepercayaan AWS IAM Roles Anywhere dengan certificate authority (CA) yang Anda konfigurasikan, membuat profil AWS IAM Roles Anywhere, dan membuat peran IAM Hybrid Nodes dengan izin yang diuraikan sebelumnya.

  1. Untuk mengatur otoritas sertifikat (CA)

    1. Untuk menggunakan sumber daya CA AWS Pribadi, buka konsol AWS Private Certificate Authority. Ikuti petunjuk di Panduan Pengguna CA AWS Pribadi.

    2. Untuk menggunakan CA eksternal, ikuti instruksi yang diberikan oleh CA. Anda memberikan badan sertifikat di langkah selanjutnya.

    3. Sertifikat yang dikeluarkan dari publik CAs tidak dapat digunakan sebagai jangkar kepercayaan.

  2. Unduh CloudFormation template AWS IAM Roles Anywhere untuk node hybrid

    curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'

  3. Buat cfn-iamra-parameters.json dengan opsi berikut:

    1. Ganti ROLE_NAME dengan nama untuk peran IAM Hybrid Nodes Anda. Secara default, CloudFormation template digunakan AmazonEKSHybridNodesRole sebagai nama peran yang dibuatnya jika Anda tidak menentukan nama.

    2. Ganti CERT_ATTRIBUTE dengan atribut sertifikat per-mesin yang secara unik mengidentifikasi host Anda. Atribut certificate yang Anda gunakan harus cocok dengan nodeName yang Anda gunakan untuk nodeadm konfigurasi saat Anda menghubungkan node hybrid ke cluster Anda. Untuk informasi selengkapnya, lihat nodeadmReferensi node hibrida. Secara default, CloudFormation template menggunakan ${aws:PrincipalTag/x509Subject/CN} sebagaiCERT_ATTRIBUTE, yang sesuai dengan bidang CN sertifikat per-mesin Anda. Anda bisa lolos $(aws:PrincipalTag/x509SAN/Name/CN} sebagai milik AndaCERT_ATTRIBUTE.

    3. Ganti CA_CERT_BODY dengan badan sertifikat CA Anda tanpa jeda baris. CA_CERT_BODYHarus dalam format Privacy Enhanced Mail (PEM). Jika Anda memiliki sertifikat CA dalam format PEM, hapus jeda baris dan BEGIN CERTIFICATE dan END CERTIFICATE sebelum menempatkan badan sertifikat CA di cfn-iamra-parameters.json file Anda.

      {
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
    "CABundleCert": "CA_CERT_BODY"
  }
}

  4. Menyebarkan CloudFormation template. Ganti STACK_NAME dengan nama Anda untuk CloudFormation tumpukan.

    aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ira-cfn.yaml \
    --parameter-overrides file://cfn-iamra-parameters.json
    --capabilities CAPABILITY_NAMED_IAM

AWS CLI

Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Lihat Menginstal atau memperbarui ke versi terakhir AWS CLI.

Buat EKS Jelaskan Kebijakan Cluster

  1. Buat file bernama eks-describe-cluster-policy.json dengan konten berikut:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        }
    ]
}

  2. Buat kebijakan dengan perintah berikut:

    aws iam create-policy \
    --policy-name EKSDescribeClusterPolicy \
    --policy-document file://eks-describe-cluster-policy.json

Langkah-langkah untuk aktivasi hibrida AWS SSM

  1. Buat file bernama eks-hybrid-ssm-policy.json dengan isi berikut ini. Kebijakan tersebut memberikan izin untuk dua tindakan ssm:DescribeInstanceInformation danssm:DeregisterManagedInstance. Kebijakan ini membatasi ssm:DeregisterManagedInstance izin untuk instans terkelola AWS SSM yang terkait dengan aktivasi hibrida AWS SSM Anda berdasarkan tag sumber daya yang Anda tentukan dalam kebijakan kepercayaan Anda.

    1. Ganti AWS_REGION dengan AWS Region untuk aktivasi hybrid AWS SSM Anda.

    2. Ganti AWS_ACCOUNT_ID dengan ID AWS akun Anda.

    3. Ganti TAG_KEY dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes ssm:DeregisterManagedInstance untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam CloudFormation template, TAG_KEY default ke. EKSClusterARN

    4. Ganti TAG_VALUE dengan nilai tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes ssm:DeregisterManagedInstance untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Jika Anda menggunakan default TAG_KEY dariEKSClusterARN, maka berikan ARN cluster EKS Anda sebagai ARN. TAG_VALUE Kluster EKS ARNs memiliki formatarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

  2. Buat kebijakan dengan perintah berikut

    aws iam create-policy \
    --policy-name EKSHybridSSMPolicy \
    --policy-document file://eks-hybrid-ssm-policy.json

  3. Buat file bernama eks-hybrid-ssm-trust.json. Ganti AWS_REGION dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan AWS_ACCOUNT_ID dengan ID AWS akun Anda.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"AWS_ACCOUNT_ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
            }
         }
      }
   ]
}

  4. Buat peran dengan perintah berikut.

    aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-ssm-trust.json

  5. Lampirkan EKSDescribeClusterPolicy dan yang EKSHybridSSMPolicy Anda buat di langkah sebelumnya. Ganti AWS_ACCOUNT_ID dengan ID AWS akun Anda.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy

  6. Lampirkan AmazonEC2ContainerRegistryPullOnly dan kebijakan yang AmazonSSMManagedInstanceCore AWS dikelola.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

Langkah-langkah untuk Peran AWS IAM Di Mana Saja

Untuk menggunakan Peran AWS IAM Di Mana Saja, Anda harus menyiapkan jangkar kepercayaan AWS IAM Roles Anywhere sebelum membuat Peran IAM Hybrid Nodes. Lihat hybrid-nodes-iam-roles -di mana saja>> untuk instruksi.

  1. Buat file bernama eks-hybrid-iamra-trust.json. Ganti TRUST_ANCHOR ARN dengan ARN dari jangkar kepercayaan yang Anda buat di langkah -anywhere>>. hybrid-nodes-iam-roles Kondisi dalam kebijakan kepercayaan ini membatasi kemampuan IAM Roles Anywhere untuk mengambil peran AWS IAM Hybrid Nodes untuk bertukar kredenal IAM sementara hanya jika nama sesi peran cocok dengan CN dalam sertifikat x509 yang diinstal pada node hybrid Anda. Anda dapat menggunakan atribut sertifikat lain untuk mengidentifikasi node Anda secara unik. Atribut sertifikat yang Anda gunakan dalam kebijakan kepercayaan harus sesuai dengan yang nodeName Anda tetapkan dalam nodeadm konfigurasi Anda. Untuk informasi selengkapnya, lihat nodeadmReferensi node hibrida.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        }
    ]
}

  2. Buat peran dengan perintah berikut.

    aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-iamra-trust.json

  3. Lampirkan yang EKSDescribeClusterPolicy Anda buat di langkah sebelumnya. Ganti AWS_ACCOUNT_ID dengan ID AWS akun Anda.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy

  4. Lampirkan kebijakan AmazonEC2ContainerRegistryPullOnly AWS terkelola

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

AWS Management Console

Buat EKS Jelaskan Kebijakan Cluster

  1. Buka konsol Amazon IAM

  2. Di panel navigasi di sebelah kiri, pilih Kebijakan.

  3. Pada halaman Kebijakan, pilih Buat kebijakan.

  4. Pada halaman Tentukan izin, di panel Select a Service, pilih EKS.

    1. Filter tindakan untuk DescribeClusterdan pilih tindakan DescribeClusterBaca.

    2. Pilih Berikutnya.

  5. Pada halaman Review dan buat

    1. Masukkan nama Kebijakan untuk kebijakan Anda sepertiEKSDescribeClusterPolicy.

    2. Pilih Buat kebijakan.

Langkah-langkah untuk aktivasi hibrida AWS SSM

  1. Buka konsol Amazon IAM

  2. Di panel navigasi di sebelah kiri, pilih Kebijakan.

  3. Pada halaman Kebijakan, pilih Buat kebijakan.

  4. Pada halaman Tentukan izin, di navigasi kanan atas editor Kebijakan, pilih JSON. Tempel cuplikan berikut. Ganti AWS_REGION dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan ganti AWS_ACCOUNT_ID dengan ID AWS akun Anda. Ganti TAG_KEY dan TAG_VALUE dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

    1. Pilih Berikutnya.

  5. Pada halaman Review dan Create.

    1. Masukkan nama Kebijakan untuk kebijakan Anda seperti EKSHybridSSMPolicy

    2. Pilih Buat Kebijakan.

  6. Di panel navigasi sebelah kiri, pilih Peran.

  7. Pada halaman Peran, pilih Buat peran.

  8. Pada halaman Pilih entitas tepercaya, lakukan hal berikut:

    1. Di bagian Jenis entitas tepercaya, pilih Kebijakan kepercayaan khusus. Tempelkan berikut ini ke editor kebijakan kepercayaan kustom. Ganti AWS_REGION dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan AWS_ACCOUNT_ID dengan ID AWS akun Anda.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"AWS_ACCOUNT_ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
            }
         }
      }
   ]
}

    2. Pilih Berikutnya.

  9. Pada halaman Tambahkan izin, lampirkan kebijakan khusus atau lakukan hal berikut:

    1. Di kotak Filter kebijakan, masukkanEKSDescribeClusterPolicy, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.

    2. Di kotak Filter kebijakan, masukkanEKSHybridSSMPolicy, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.

    3. Di dalam kotak Filter kebijakan, masukkan AmazonEC2ContainerRegistryPullOnly. Pilih kotak centang di sebelah kiri AmazonEC2ContainerRegistryPullOnly dalam hasil pencarian.

    4. Di dalam kotak Filter kebijakan, masukkan AmazonSSMManagedInstanceCore. Pilih kotak centang di sebelah kiri AmazonSSMManagedInstanceCore dalam hasil pencarian.

    5. Pilih Berikutnya.

  10. Pada halaman Nama, tinjau, dan buat, lakukan hal berikut:

    1. Untuk nama Peran, masukkan nama unik untuk peran Anda, sepertiAmazonEKSHybridNodesRole.

    2. Untuk Deskripsi, ganti teks saat ini dengan teks deskriptif sepertiAmazon EKS - Hybrid Nodes role.

    3. Pilih Buat peran.

Langkah-langkah untuk Peran AWS IAM Di Mana Saja

Untuk menggunakan Peran AWS IAM Di Mana Saja, Anda harus menyiapkan jangkar kepercayaan AWS IAM Roles Anywhere sebelum membuat Peran IAM Hybrid Nodes. Lihat hybrid-nodes-iam-roles -di mana saja>> untuk instruksi.

  1. Buka konsol Amazon IAM

  2. Di panel navigasi sebelah kiri, pilih Peran.

  3. Pada halaman Peran, pilih Buat peran.

  4. Pada halaman Pilih entitas tepercaya, lakukan hal berikut:

    1. Di bagian Jenis entitas tepercaya, pilih Kebijakan kepercayaan khusus. Tempelkan berikut ini ke editor kebijakan kepercayaan kustom. Ganti TRUST_ANCHOR ARN dengan ARN dari jangkar kepercayaan yang Anda buat di langkah -anywhere>>. hybrid-nodes-iam-roles Kondisi dalam kebijakan kepercayaan ini membatasi kemampuan IAM Roles Anywhere untuk mengambil peran AWS IAM Hybrid Nodes untuk bertukar kredenal IAM sementara hanya jika nama sesi peran cocok dengan CN dalam sertifikat x509 yang diinstal pada node hybrid Anda. Anda dapat menggunakan atribut sertifikat lain untuk mengidentifikasi node Anda secara unik. Atribut sertifikat yang Anda gunakan dalam kebijakan trust harus sesuai dengan NodeName yang Anda tetapkan dalam konfigurasi nodeadm Anda. Untuk informasi selengkapnya, lihat nodeadmReferensi node hibrida.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        }
    ]
}

    2. Pilih Berikutnya.

  5. Pada halaman Tambahkan izin, lampirkan kebijakan khusus atau lakukan hal berikut:

    1. Di kotak Filter kebijakan, masukkanEKSDescribeClusterPolicy, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.

    2. Di dalam kotak Filter kebijakan, masukkan AmazonEC2ContainerRegistryPullOnly. Pilih kotak centang di sebelah kiri AmazonEC2ContainerRegistryPullOnly dalam hasil pencarian.

    3. Pilih Berikutnya.

  6. Pada halaman Nama, tinjau, dan buat, lakukan hal berikut:

    1. Untuk nama Peran, masukkan nama unik untuk peran Anda, sepertiAmazonEKSHybridNodesRole.

    2. Untuk Deskripsi, ganti teks saat ini dengan teks deskriptif sepertiAmazon EKS - Hybrid Nodes role.

    3. Pilih Buat peran.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.