Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Ruolo IAM del nodo Amazon EKS
Il kubelet
daemon del nodo Amazon EKS effettua chiamate alle AWS API per tuo conto. I nodi ricevono le autorizzazioni per queste chiamate API attraverso un profilo dell'istanza IAM e le policy associate. Prima di avviare i nodi e registrarli in un cluster, devi creare un ruolo IAM che i nodi possano utilizzare all'avvio. Questo requisito si applica ai nodi di lavoro avviati con l'AMI ottimizzata per Amazon EKS fornita da Amazon o con altre AMI di nodi che intendi utilizzare. Inoltre, questo requisito si applica sia ai gruppi di nodi gestiti sia ai nodi autogestiti.
Nota
Non è possibile utilizzare lo stesso ruolo utilizzato per creare i cluster.
Prima di creare i nodi, è necessario creare un ruolo IAM con le seguenti autorizzazioni:
-
Autorizzazioni per consentire a
kubelet
di descrivere le risorse Amazon EC2 nel VPC, come quelle fornite dalla policyAmazonEKSWorkerNodePolicy
. Questa policy fornisce anche le autorizzazioni per il Pod Identity Agent di Amazon EKS. -
Autorizzazioni per consentire a
kubelet
di utilizzare le immagini dei container da Amazon Elastic Container Registry (Amazon ECR), come previsto dalla policyAmazonEC2ContainerRegistryReadOnly
. Le autorizzazioni per utilizzare le immagini dei container da Amazon Elastic Container Registry (Amazon ECR) sono necessarie perché i componenti aggiuntivi integrati per le reti eseguono pod che utilizzano immagini di container provenienti da Amazon ECR. -
(Facoltativo) Autorizzazioni per consentire al Pod Identity Agent di Amazon EKS di utilizzare l'azione
eks-auth:AssumeRoleForPodIdentity
per recuperare le credenziali per i pod. Se non utilizzi WorkerNodePolicyAmazonEks, devi fornire questa autorizzazione oltre alle autorizzazioni EC2 per utilizzare EKS Pod Identity. -
(Facoltativo) Se non si usa Pod Identity di EKS o IRSA per fornire le autorizzazioni ai pod VPC CNI, è necessario fornire le autorizzazioni per il VPC CNI sul ruolo dell'istanza. È possibile utilizzare la policy gestita
AmazonEKS_CNI_Policy
(se il cluster è stato creato con la famigliaIPv4
) o una policy IPv6 creata (se il cluster è stato creato con la famigliaIPv6
). Invece di allegare la policy a questo ruolo, tuttavia, consigliamo di allegarla a un ruolo separato utilizzato specificamente per il componente aggiuntivo CNI di Amazon VPC. Per ulteriori informazioni sulla creazione di un ruolo separato per il componente aggiuntivo CNI di Amazon VPC, consulta Configura il VPC CNI plug-in Amazon da utilizzare IRSA.
Nota
Prima del 3 ottobre 2023, AmazonEKSWorkerNodePolicy
e AmazonEC2ContainerRegistryReadOnly
erano obbligatori nel ruolo IAM per ciascun gruppo di nodi gestiti.
I gruppi di nodi Amazon EC2 devono avere un ruolo IAM diverso dal profilo Fargate. Per ulteriori informazioni, consulta Ruolo IAM per l'esecuzione del Pod Amazon EKS.
Verifica della presenza di un ruolo di nodo esistente
Per controllare se l'account dispone già di un ruolo di nodo Amazon EKS, utilizzare la procedura indicata di seguito.
Per verificare la presenza di eksNodeRole
nella console IAM
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Ricerca
eksNodeRole
,AmazonEKSNodeRole
oNodeInstanceRole
nell'elenco di ruoli. Se un ruolo con uno di questi nomi non esiste, consulta Creazione del ruolo IAM del nodo Amazon EKS per creare il ruolo. Se esiste un ruolo che contieneeksNodeRole
,AmazonEKSNodeRole
oNodeInstanceRole
, seleziona il ruolo per visualizzare le policy allegate. -
Seleziona Autorizzazioni.
-
Assicurati che le policy gestite di WorkerNodePolicy AmazonEks e ContainerRegistryReadOnly AmazoneEC2 siano collegate al ruolo o che sia allegata una policy personalizzata con le autorizzazioni minime.
Nota
Se al ruolo è invece collegata la policy AmazonEKS_CNI_Policy, è consigliabile rimuoverla e allegarla a un ruolo IAM mappato all'account di servizio Kubernetes
aws-node
. Per ulteriori informazioni, consulta Configura il VPC CNI plug-in Amazon da utilizzare IRSA. -
Scegli Trust relationships (Relazioni di attendibilità), quindi scegli Edit trust policy (Modifica policy di attendibilità).
-
Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Modifica policy di attendibilità e scegli Aggiorna policy.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Creazione del ruolo IAM del nodo Amazon EKS
Puoi creare il ruolo IAM del nodo con o. AWS Management Console AWS CLI