**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Peran IAM eksekusi Pod Amazon EKS
Peran eksekusi Amazon EKS Pod diperlukan untuk menjalankan Pod pada infrastruktur AWS Fargate.
Saat klaster Anda membuat Pod pada infrastruktur AWS Fargate, komponen yang berjalan pada infrastruktur Fargate harus melakukan panggilan atas nama Anda. AWS APIs Ini agar mereka dapat melakukan tindakan seperti menarik gambar kontainer dari Amazon ECR atau merutekan log ke AWS layanan lain. Peran eksekusi Amazon EKS Pod memberikan izin IAM untuk melakukan ini.
Saat membuat profil Fargate, Anda harus menentukan peran eksekusi Pod untuk komponen Amazon EKS yang berjalan di infrastruktur Fargate menggunakan profil tersebut. Peran ini ditambahkan ke Kubernetes [Role based access control](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) klaster untuk otorisasi. Hal ini memungkinkan `kubelet` yang berjalan di infrastruktur Fargate untuk mendaftar dengan cluster Amazon EKS Anda sehingga dapat muncul di cluster Anda sebagai node.
**catatan**
Profil Fargate harus memiliki peran IAM yang berbeda dari grup node Amazon EC2 .
**penting**
Container yang berjalan di Fargate Pod tidak dapat mengasumsikan izin IAM yang terkait dengan peran eksekusi Pod. Untuk memberikan izin pada container di Fargate Pod Anda untuk mengakses AWS layanan lain, Anda harus menggunakan [peran IAM](iam-roles-for-service-accounts.md) untuk akun layanan.
[Sebelum Anda membuat profil Fargate, Anda harus membuat peran IAM dengan Amazon. EKSFargate PodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html)
## Memeriksa peran eksekusi Pod yang sudah dikonfigurasi dengan benar
Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran eksekusi Amazon EKS Pod yang dikonfigurasi dengan benar. Untuk menghindari masalah keamanan wakil yang membingungkan, penting bahwa peran membatasi akses berdasarkan`SourceArn`. Anda dapat memodifikasi peran eksekusi sesuai kebutuhan untuk menyertakan dukungan untuk profil Fargate di cluster lain.
1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pada halaman **Peran**, cari daftar peran untuk **Amazon EKSFargate PodExecutionRole**. Jika peran tidak ada, lihat [Membuat peran eksekusi Amazon EKS Pod](#create-pod-execution-role) untuk membuat peran. Jika peran itu memang ada, pilih perannya.
1. Di EKSFargate PodExecutionRole halaman **Amazon**, lakukan hal berikut:
1. Pilih **Izin**.
1. Pastikan kebijakan terkelola **EKSFargatePodExecutionRolePolicyAmazon** Amazon dilampirkan pada peran tersebut.
1. Pilih **Hubungan kepercayaan**.
1. Pilih **Edit kebijakan kepercayaan**.
1. Pada halaman **Edit kebijakan kepercayaan**, verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut dan memiliki baris untuk profil Fargate di klaster Anda. Jika demikian, pilih **Batalkan**.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
}
},
"Principal": {
"Service": "eks-fargate-pods.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
Jika kebijakan cocok tetapi tidak memiliki baris yang menentukan profil Fargate di klaster, Anda dapat menambahkan baris berikut di bagian `ArnLike` atas objek. Ganti *region-code* dengan AWS Region tempat klaster Anda berada, *111122223333* dengan ID akun Anda, dan *my-cluster* dengan nama klaster Anda.
```
"aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",
```
Jika kebijakan tidak cocok, salin kebijakan lengkap sebelumnya ke dalam formulir dan pilih **Perbarui kebijakan**. Ganti *region-code* dengan AWS Wilayah tempat klaster Anda berada. Jika Anda ingin menggunakan peran yang sama di semua AWS Wilayah di akun Anda, ganti *region-code* dengan`*`. Ganti *111122223333* dengan ID akun Anda dan *my-cluster* dengan nama cluster Anda. Jika Anda ingin menggunakan peran yang sama untuk semua cluster di akun Anda, ganti *my-cluster* dengan`*`.
## Membuat peran eksekusi Amazon EKS Pod
Jika Anda belum memiliki peran eksekusi Amazon EKS Pod untuk klaster Anda, Anda dapat menggunakan Konsol Manajemen AWS atau AWS CLI untuk membuatnya.
Konsol Manajemen AWS
1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pada halaman **Peran**, pilih **Buat peran**.
1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:
1. Di bagian **Jenis entitas tepercaya**, pilih ** AWS layanan**.
1. **Dari daftar dropdown **Use case for other AWS services**, pilih EKS.**
1. Pilih **EKS - Fargate** Pod.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, lakukan hal berikut:
1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`AmazonEKSFargatePodExecutionRole`.
1. Di bawah **Tambahkan tag (Opsional)**, tambahkan metadata ke peran dengan melampirkan tag sebagai pasangan nilai kunci. Untuk informasi selengkapnya tentang penggunaan tanda di IAM, lihat [Menandai sumber daya IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) di *Panduan Pengguna IAM*.
1. Pilih **Buat peran**.
1. Pada halaman **Peran**, cari daftar peran untuk **Amazon EKSFargate PodExecutionRole**. Pilih perannya.
1. Di EKSFargate PodExecutionRole halaman **Amazon**, lakukan hal berikut:
1. Pilih **Hubungan kepercayaan**.
1. Pilih **Edit kebijakan kepercayaan**.
1. Pada halaman **Edit kebijakan kepercayaan**, lakukan hal berikut:
1. Salin dan tempel konten berikut ke dalam formulir **Edit kebijakan kepercayaan**. Ganti *region-code* dengan AWS Wilayah tempat klaster Anda berada. Jika Anda ingin menggunakan peran yang sama di semua AWS Wilayah di akun Anda, ganti *region-code* dengan`*`. Ganti *111122223333* dengan ID akun Anda dan *my-cluster* dengan nama cluster Anda. Jika Anda ingin menggunakan peran yang sama untuk semua cluster di akun Anda, ganti *my-cluster* dengan`*`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
}
},
"Principal": {
"Service": "eks-fargate-pods.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Pilih **Perbarui kebijakan**.
AWS CLI
1. Salin dan tempel konten berikut ke file bernama`pod-execution-role-trust-policy.json`. Ganti *region-code* dengan AWS Wilayah tempat klaster Anda berada. Jika Anda ingin menggunakan peran yang sama di semua AWS Wilayah di akun Anda, ganti *region-code* dengan`*`. Ganti *111122223333* dengan ID akun Anda dan *my-cluster* dengan nama cluster Anda. Jika Anda ingin menggunakan peran yang sama untuk semua cluster di akun Anda, ganti *my-cluster* dengan`*`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
}
},
"Principal": {
"Service": "eks-fargate-pods.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Buat peran IAM eksekusi Pod.
```
aws iam create-role \
--role-name AmazonEKSFargatePodExecutionRole \
--assume-role-policy-document file://"pod-execution-role-trust-policy.json"
```
1. Lampirkan kebijakan terkelola IAM Amazon EKS yang diperlukan untuk peran tersebut.
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \
--role-name AmazonEKSFargatePodExecutionRole
```