Aiutaci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo IAM del cluster Amazon EKS
È richiesto un ruolo IAM del cluster Amazon EKS per ogni cluster. Kubernetes i cluster gestiti da Amazon EKS utilizzano questo ruolo per gestire i nodi e il Cloud Provider legacy
Prima di poter creare cluster Amazon EKS, devi creare un ruolo IAM con una delle seguenti policy IAM:
-
Una policy IAM personalizzata. Le autorizzazioni minime che seguono consentono di Kubernetes cluster per gestire i nodi, ma non consente al Cloud Provider legacy
di creare sistemi di bilanciamento del carico con Elastic Load Balancing. La tua policy IAM personalizzata deve disporre almeno delle seguenti autorizzazioni: { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws: ec2:*:*:instance/*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": "kubernetes.io/cluster/*" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeAvailabilityZones", "ec2:DescribeInstanceTopology", "kms:DescribeKey" ], "Resource": "*" } ] }
Nota
Prima del 3 ottobre 2023, era richiesta la EKSClusterpolitica di Amazon sul ruolo IAM per ogni cluster.
Prima del 16 aprile 2020, erano obbligatorie Amazon EKSService EKSCluster Policy e Amazon Policy e il nome suggerito per il ruolo eraeksServiceRole
. Con il ruolo AWSServiceRoleForAmazonEKS
collegato ai servizi, la politica di Amazon EKSService Policy non è più richiesta per i cluster creati a partire dal 16 aprile 2020.
Verifica della presenza di un ruolo del cluster esistente
Per verificare se l'account dispone già di un ruolo del cluster Amazon EKS, utilizzare la procedura indicata di seguito.
-
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Cerca l'elenco dei ruoli per
eksClusterRole
. SeeksClusterRole
non esiste un ruolo che include, consulta la sezione relativa Creazione del ruolo del cluster Amazon EKS alla creazione del ruolo. Se un ruolo che includeeksClusterRole
esiste, seleziona il ruolo per visualizzare le policy allegate. -
Selezionare Autorizzazioni.
-
Assicurati che la EKSClusterpolitica gestita da Amazon Policy sia associata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.
-
Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).
-
Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di fiducia non corrisponde, copia la politica nella finestra Modifica politica di fiducia e scegli Aggiorna politica.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Creazione del ruolo del cluster Amazon EKS
È possibile utilizzare AWS Management Console o la AWS CLI per creare il ruolo del cluster.
- AWS Management Console
-
-
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Scegli Ruoli, quindi Crea ruolo.
-
In Tipo di entità affidabile, seleziona AWS servizio.
-
Dall'elenco a discesa Casi d'uso per altri AWS servizi, scegli EKS.
-
Scegli EKS - Cluster per il tuo caso d'uso, quindi scegli Next (Successivo).
-
Nella scheda Aggiungi autorizzazioni, scegli Successivo.
-
Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio
eksClusterRole
. -
Per Description (Descrizione), inserisci un testo descrittivo come
Amazon EKS - Cluster role
. -
Scegliere Crea ruolo.
-
- AWS CLI
-
-
Copiare i seguenti contenuti in un file denominato
cluster-trust-policy.json
.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
Crea il ruolo. Puoi sostituire
eksClusterRole
con un nome a tua scelta.aws iam create-role \ --role-name eksClusterRole \ --assume-role-policy-document file://"cluster-trust-policy.json"
-
Allega la policy IAM richiesta al ruolo.
aws iam attach-role-policy \ --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \ --role-name eksClusterRole
-