Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
IAMRuolo EKS del connettore Amazon
Puoi connettere Kubernetes i cluster per visualizzarli nel tuo AWS Management Console. Per connetterti a un Kubernetes cluster, crea un IAM ruolo.
Verifica la presenza di un ruolo di EKS connettore esistente
Puoi utilizzare la seguente procedura per verificare se il tuo account ha già il ruolo di EKS connettore Amazon.
Per verificare la presenza AmazonEKSConnectorAgentRole di nella IAM console
Apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
-
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Cerca l'elenco dei ruoli per AmazonEKSConnectorAgentRole. Se un ruolo che include AmazonEKSConnectorAgentRole non esiste, consulta Creazione del ruolo di agente Amazon EKS Connector per crearlo. Se un ruolo che include AmazonEKSConnectorAgentRole esiste, seleziona il ruolo per visualizzare le policy allegate.
-
Selezionare Autorizzazioni.
-
Assicurati che la policy mazonEKSConnector AgentPolicy gestita A sia associata al ruolo. Se la policy è allegata, il tuo ruolo di Amazon EKS Connector è configurato correttamente.
-
Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).
-
Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Modifica policy di attendibilità e scegli Aggiorna policy.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
Creazione del ruolo di agente Amazon EKS Connector
Puoi usare AWS Management Console o AWS CloudFormation per creare il ruolo Connector Agent.
- AWS CLI
-
-
Create un file denominato eks-connector-agent-trust-policy.json che contenga quanto segue JSON da utilizzare per il IAM ruolo.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"ssm.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
-
Create un file denominato eks-connector-agent-policy.json che contenga quanto segue JSON da utilizzare per il IAM ruolo.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SsmControlChannel",
"Effect": "Allow",
"Action": [
"ssmmessages:CreateControlChannel"
],
"Resource": "arn:aws:eks:*:*:cluster/*"
},
{
"Sid": "ssmDataplaneOperations",
"Effect": "Allow",
"Action": [
"ssmmessages:CreateDataChannel",
"ssmmessages:OpenDataChannel",
"ssmmessages:OpenControlChannel"
],
"Resource": "*"
}
]
}
-
Crea il ruolo di agente Amazon EKS Connector utilizzando la policy e la policy di fiducia che hai creato nelle voci precedenti dell'elenco.
aws iam create-role \
--role-name AmazonEKSConnectorAgentRole \
--assume-role-policy-document file://eks-connector-agent-trust-policy.json
-
Associa la policy al tuo ruolo di agente Amazon EKS Connector.
aws iam put-role-policy \
--role-name AmazonEKSConnectorAgentRole \
--policy-name AmazonEKSConnectorAgentPolicy \
--policy-document file://eks-connector-agent-policy.json
- AWS CloudFormation
-
Per creare il tuo ruolo di agente Amazon EKS Connector con AWS CloudFormation.
-
Salva il seguente AWS CloudFormation modello in un file di testo sul tuo sistema locale.
---
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Provisions necessary resources needed to register clusters in EKS'
Parameters: {}
Resources:
EKSConnectorSLR:
Type: AWS::IAM::ServiceLinkedRole
Properties:
AWSServiceName: eks-connector.amazonaws.com
EKSConnectorAgentRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action: [ 'sts:AssumeRole' ]
Principal:
Service: 'ssm.amazonaws.com'
EKSConnectorAgentPolicy:
Type: AWS::IAM::Policy
Properties:
PolicyName: EKSConnectorAgentPolicy
Roles:
- {Ref: 'EKSConnectorAgentRole'}
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: 'Allow'
Action: [ 'ssmmessages:CreateControlChannel' ]
Resource:
- Fn::Sub: 'arn:${AWS::Partition}:eks:*:*:cluster/*'
- Effect: 'Allow'
Action: [ 'ssmmessages:CreateDataChannel', 'ssmmessages:OpenDataChannel', 'ssmmessages:OpenControlChannel' ]
Resource: "*"
Outputs:
EKSConnectorAgentRoleArn:
Description: The agent role that EKS connector uses to communicate with Servizi AWS.
Value: !GetAtt EKSConnectorAgentRole.Arn
Apri la AWS CloudFormation console in /cloudformazione. https://console.aws.amazon.com
-
Scegliere Crea pila (con nuove risorse o risorse esistenti).
-
In Specify template (Specifica modello), selezionare Upload a template file (Carica un file di modello) e Choose file (Scegli file).
-
Scegliere il file creato in precedenza, quindi selezionare Next (Successivo).
-
Per Stack name (Nome pila), immettere un nome per il ruolo, ad esempio eksConnectorAgentRole, quindi scegliere Next (Successivo).
-
Nella pagina Configure stack options (Configura opzioni pila), scegliere Next (Successivo).
-
Nella pagina Revisione, esamina le tue informazioni, riconosci che lo stack potrebbe creare IAM risorse, quindi scegli Crea stack.
