**Contribuisci a migliorare questa pagina**
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Ruolo IAM del cluster Amazon EKS
Ѐ richiesto un ruolo IAM del cluster Amazon EKS per ogni cluster. I cluster Kubernetes gestiti da Amazon EKS utilizzano questo ruolo per gestire i nodi e il [provider di servizi cloud](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/#legacy-cloud-provider) utilizza questo ruolo per creare bilanciatori del carico con Elastic Load Balancing per i servizi.
Prima di poter creare cluster Amazon EKS, devi creare un ruolo IAM con una delle seguenti policy IAM:
+ [EKSClusterPolitica di Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html)
+ Una policy IAM personalizzata. Le autorizzazioni minime che seguono consentono al cluster di Kubernetes di gestire i nodi, ma non consentono al [provider di servizi cloud](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/#legacy-cloud-provider) di creare bilanciatori del carico con bilanciamento del carico elastico. La policy IAM personalizzata deve disporre almeno delle seguenti autorizzazioni:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": "kubernetes.io/cluster/*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstanceTopology",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**Nota**
Prima del 3 ottobre 2023, era richiesta la [EKSClusterpolitica di Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html) sul ruolo IAM per ogni cluster.
Prima del 16 aprile 2020, erano obbligatorie [Amazon EKSService EKSCluster Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html) [e Amazon Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html) e il nome suggerito per il ruolo era`eksServiceRole`. Con il ruolo `AWSServiceRoleForAmazonEKS` collegato ai servizi, la politica di [Amazon EKSService Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html) non è più richiesta per i cluster creati a partire dal 16 aprile 2020.
## Verifica della presenza di un ruolo del cluster esistente
Per verificare se l’account dispone già di un ruolo del cluster Amazon EKS, puoi utilizzare la procedura indicata di seguito.
1. Apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/
1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.
1. Cerca l’elenco dei ruoli per `eksClusterRole`. Se un ruolo che include `eksClusterRole` non esiste, consultare [Creazione del ruolo del cluster Amazon EKS](#create-service-role) per crearlo. Se un ruolo che include `eksClusterRole` esiste, seleziona il ruolo per visualizzare le policy allegate.
1. Selezionare **Autorizzazioni**.
1. Assicurati che la **EKSClusterpolitica gestita da Amazon** Policy sia associata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.
1. Scegliere **Relazioni di attendibilità**, quindi scegliere **Modifica policy di attendibilità**.
1. Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli **Annulla**. Se la relazione di attendibilità non corrisponde, copia la policy nella finestra **Modifica policy di attendibilità** e scegli **Aggiorna policy**.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
## Creazione del ruolo del cluster Amazon EKS
È possibile utilizzare Console di gestione AWS o la AWS CLI per creare il ruolo del cluster.
Console di gestione AWS
1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
1. Scegli **Ruoli**, quindi **Crea ruolo**.
1. In **Tipo di entità affidabile**, seleziona ** AWS servizio**.
1. Dall'elenco a discesa **Casi d'uso per altri AWS servizi**, scegli **EKS**.
1. Scegli **EKS - Cluster** per il caso d’uso, quindi scegli **Successivo**.
1. Nella scheda **Aggiungi autorizzazioni**, scegli **Successivo**.
1. Per **Nome ruolo**, inserisci un nome univoco per il ruolo, ad esempio `eksClusterRole`.
1. Per **Descrizione**, inserisci un testo descrittivo come `Amazon EKS - Cluster role`.
1. Scegli **Crea ruolo**.
AWS CLI
1. Copiare i seguenti contenuti in un file denominato *cluster-trust-policy.json*.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Crea il ruolo. Puoi sostituire *eksClusterRole* con un nome a tua scelta.
```
aws iam create-role \
--role-name eksClusterRole \
--assume-role-policy-document file://"cluster-trust-policy.json"
```
1. Allega la policy IAM richiesta al ruolo.
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
--role-name eksClusterRole
```