Verifica della presenza di un ruolo del cluster esistente Creazione del ruolo EKS del cluster Amazon

EKSIAMRuolo del cluster Amazon

È richiesto un IAM ruolo del EKS cluster Amazon per ogni cluster. Kubernetes i cluster gestiti da Amazon EKS utilizzano questo ruolo per gestire i nodi e il Cloud Provider legacy utilizza questo ruolo per creare sistemi di bilanciamento del carico con Elastic Load Balancing for services.

Prima di poter creare EKS cluster Amazon, devi creare un IAM ruolo con una delle seguenti IAM politiche:

Una politica mazonEKSCluster

Una IAM politica personalizzata. Le autorizzazioni minime che seguono consentono di Kubernetes cluster per gestire i nodi, ma non consente al Cloud Provider legacy di creare sistemi di bilanciamento del carico con Elastic Load Balancing. La tua IAM policy personalizzata deve avere almeno le seguenti autorizzazioni:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws: ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstanceTopology",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Nota

Prima del 3 ottobre 2023, era richiesta una mazonEKSCluster policy sul IAM ruolo per ogni cluster.

Prima del 16 aprile 2020, erano necessarie una mazonEKSService politica e una mazonEKSCluster politica e il nome suggerito per il ruolo eraeksServiceRole. Con il ruolo AWSServiceRoleForAmazonEKS collegato ai servizi, la mazonEKSServicepolicy A Policy non è più necessaria per i cluster creati a partire dal 16 aprile 2020.

Verifica della presenza di un ruolo del cluster esistente

Puoi utilizzare la seguente procedura per verificare se il tuo account ha già il ruolo del EKS cluster Amazon.

Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione a sinistra, seleziona Ruoli.
Cerca l'elenco dei ruoli per eksClusterRole. Se eksClusterRole non esiste un ruolo che include, consulta la sezione Creazione del ruolo EKS del cluster Amazon relativa alla creazione del ruolo. Se un ruolo che include eksClusterRole esiste, seleziona il ruolo per visualizzare le policy allegate.
Selezionare Autorizzazioni.
Assicurati che la mazonEKSClusterpolitica gestita da A Policy sia allegata al ruolo. Se la policy è allegata, il ruolo EKS del cluster Amazon è configurato correttamente.
Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).
Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di fiducia non corrisponde, copia la politica nella finestra Modifica politica di fiducia e scegli Aggiorna politica.
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Creazione del ruolo EKS del cluster Amazon

Puoi usare AWS Management Console o the AWS CLI per creare il ruolo del cluster.

AWS Management Console

Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Scegli Ruoli, quindi Crea ruolo.
In Tipo di entità affidabile, seleziona AWS servizio.
Dall'elenco a discesa Casi di utilizzo per altri AWS servizi, scegli EKS.
Scegli EKS- Cluster per il tuo caso d'uso, quindi scegli Avanti.
Nella scheda Aggiungi autorizzazioni, scegli Successivo.
Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio eksClusterRole.
Per Description (Descrizione), inserisci un testo descrittivo come Amazon EKS - Cluster role.
Scegliere Crea ruolo.

AWS CLI

Copia i seguenti contenuti in un file denominato cluster-trust-policy.json.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Crea il ruolo. È possibile sostituire eksClusterRole con qualsiasi nome tu scelga.


aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

Allega la IAM politica richiesta al ruolo.


aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo dei ruoli per i cluster EKS locali di Amazon su Outpost

IAMRuolo EKS del nodo Amazon