Preparare le credenziali per i nodi ibridi - Amazon EKS
Ruolo IAM dei nodi ibridiAWS Configura le attivazioni ibride SSMConfigura AWS IAM Roles AnywhereCrea il ruolo IAM di Hybrid Nodes

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Preparare le credenziali per i nodi ibridi

I nodi ibridi Amazon EKS utilizzano credenziali IAM temporanee fornite da attivazioni ibride AWS SSM o AWS IAM Roles Anywhere per l'autenticazione con il cluster Amazon EKS. È necessario utilizzare attivazioni ibride AWS SSM o AWS IAM Roles Anywhere con l'Amazon EKS Hybrid Nodes CLI (). nodeadm Non dovresti usare sia le attivazioni ibride AWS SSM che IAM Roles Anywhere. AWS Si consiglia di utilizzare le attivazioni ibride AWS SSM se non si dispone di un'infrastruttura a chiave pubblica (PKI) esistente con un'autorità di certificazione (CA) e certificati per gli ambienti locali. Se disponi di PKI e certificati esistenti in locale, usa IAM Roles Anywhere. AWS

Ruolo IAM dei nodi ibridi

Prima di poter connettere i nodi ibridi al cluster Amazon EKS, devi creare un ruolo IAM che verrà utilizzato con le attivazioni ibride AWS SSM o AWS IAM Roles Anywhere per le credenziali dei tuoi nodi ibridi. Dopo la creazione del cluster, utilizzerai questo ruolo con una voce o aws-auth ConfigMap una voce di accesso Amazon EKS per mappare il ruolo IAM a Kubernetes Role-Based Access Control (RBAC). Per ulteriori informazioni sull'associazione del ruolo IAM di Hybrid Nodes a Kubernetes RBAC, consulta. Preparare l'accesso al cluster per i nodi ibridi

Il ruolo IAM di Hybrid Nodes deve disporre delle seguenti autorizzazioni.

AWS Configura le attivazioni ibride SSM

Prima di configurare le attivazioni ibride AWS SSM, è necessario creare e configurare un ruolo IAM Hybrid Nodes. Per ulteriori informazioni, consulta Crea il ruolo IAM di Hybrid Nodes. Segui le istruzioni in Creare un'attivazione ibrida per registrare i nodi con Systems Manager nella AWS Systems Manager User Guide per creare un'attivazione ibrida AWS SSM per i tuoi nodi ibridi. Il codice di attivazione e l'ID che ricevi vengono utilizzati nodeadm quando registri i tuoi host come nodi ibridi con il tuo cluster Amazon EKS. Puoi tornare a questo passaggio in un secondo momento dopo aver creato e preparato i cluster Amazon EKS per i nodi ibridi.

Importante

Systems Manager restituisce immediatamente il codice e l'ID di attivazione alla console o finestra di comando, a seconda di come è stato creata l'attivazione. Copia queste informazioni e archiviale in un luogo sicuro. Se esci dalla console o chiudi la finestra di comando, potresti perdere queste informazioni. Se le smarrisci, devi creare una nuova attivazione.

Per impostazione predefinita, le attivazioni ibride AWS SSM sono attive per 24 ore. In alternativa, puoi specificare un valore --expiration-date quando crei l'attivazione ibrida in formato timestamp, ad esempio. 2024-08-01T00:00:00 Quando utilizzi AWS SSM come provider di credenziali, il nome del nodo per i nodi ibridi non è configurabile e viene generato automaticamente da SSM. AWS È possibile visualizzare e gestire le istanze gestite AWS SSM nella console AWS Systems Manager in Fleet Manager. È possibile registrare fino a 1.000 nodi standard attivati in modalità ibrida per account per AWS regione senza costi aggiuntivi. Tuttavia, per registrare più di 1.000 nodi ibridi è necessario attivare il piano istanze avanzate. È previsto un costo per l'utilizzo del livello di istanze avanzate che non è incluso nei prezzi di Amazon EKS Hybrid Nodes. Per ulteriori informazioni, consulta la pagina AWS dei prezzi di Systems Manager.

Vedi l'esempio seguente per come creare un'attivazione ibrida AWS SSM con il ruolo IAM di Hybrid Nodes. Quando utilizzi le attivazioni ibride AWS SSM per le credenziali dei tuoi nodi ibridi, i nomi dei tuoi nodi ibridi avranno il formato mi-012345678abcdefgh e le credenziali temporanee fornite da AWS SSM sono valide per 1 ora. Non è possibile modificare il nome del nodo o la durata delle credenziali quando si utilizza SSM come provider di credenziali. AWS Le credenziali temporanee vengono ruotate automaticamente da AWS SSM e la rotazione non influisce sullo stato dei nodi o delle applicazioni.

Si consiglia di utilizzare un'attivazione ibrida AWS SSM per cluster EKS per definire l'ssm:DeregisterManagedInstanceautorizzazione AWS SSM del ruolo IAM di Hybrid Nodes per poter annullare la registrazione solo delle istanze associate all'attivazione ibrida SSM. AWS Nell'esempio in questa pagina, viene utilizzato un tag con l'ARN del cluster EKS, che può essere utilizzato per mappare l'attivazione ibrida AWS SSM al cluster EKS. In alternativa, puoi utilizzare il tag e il metodo preferiti per definire l'ambito delle autorizzazioni AWS SSM in base ai limiti e ai requisiti di autorizzazione. L'REGISTRATION_LIMITopzione nel comando seguente è un numero intero utilizzato per limitare il numero di macchine che possono utilizzare l'attivazione ibrida AWS SSM (ad esempio) 10

aws ssm create-activation \
     --region AWS_REGION \
     --default-instance-name eks-hybrid-nodes \
     --description "Activation for EKS hybrid nodes" \
     --iam-role AmazonEKSHybridNodesRole \
     --tags Key=EKSClusterARN,Value=arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
     --registration-limit REGISTRATION_LIMIT

Consulta le istruzioni su Creare un'attivazione ibrida per registrare i nodi con Systems Manager per ulteriori informazioni sulle impostazioni di configurazione disponibili per le attivazioni ibride AWS SSM.

Configura AWS IAM Roles Anywhere

Segui le istruzioni riportate nella Guida per l'utente di IAM Roles Anywhere nella Guida per l'utente di IAM Roles Anywhere per configurare il trust anchor e il profilo che utilizzerai per le credenziali IAM temporanee per il tuo ruolo IAM Hybrid Nodes. Quando crei il tuo profilo, puoi crearlo senza aggiungere alcun ruolo. Puoi creare questo profilo, tornare a questi passaggi per creare il tuo ruolo IAM Hybrid Nodes e quindi aggiungere il tuo ruolo al profilo dopo averlo creato. In alternativa, puoi utilizzare i AWS CloudFormation passaggi riportati più avanti in questa pagina per completare la configurazione di IAM Roles Anywhere per i nodi ibridi.

Quando aggiungi il ruolo IAM Hybrid Nodes al tuo profilo, seleziona Accetta il nome della sessione di ruolo personalizzato nel pannello Nome sessione di ruolo personalizzato nella parte inferiore della pagina Modifica profilo nella console AWS IAM Roles Anywhere. Corrisponde al campo acceptRoleSessionNome dell'CreateProfileAPI. Ciò consente di fornire un nome di nodo personalizzato per i nodi ibridi nella configurazione a cui si passa nodeadm durante il processo di bootstrap. È necessario passare un nome di nodo personalizzato durante il nodeadm init processo. Puoi aggiornare il tuo profilo per accettare un nome di sessione di ruolo personalizzato dopo aver creato il tuo profilo.

Puoi configurare la durata di validità delle credenziali con AWS IAM Roles Anywhere tramite il campo DurationSeconds del AWS tuo profilo IAM Roles Anywhere. La durata predefinita è di 1 ora con un massimo di 12 ore. L'MaxSessionDurationimpostazione sul tuo ruolo IAM Hybrid Nodes deve essere maggiore dell'durationSecondsimpostazione sul tuo profilo AWS IAM Roles Anywhere. Per ulteriori informazioniMaxSessionDuration, consulta la documentazione UpdateRole dell'API.

I certificati e le chiavi generati per computer dall'autorità di certificazione (CA) devono essere inseriti nella /etc/iam/pki directory di ogni nodo ibrido con i nomi di file server.pem per il certificato e server.key per la chiave.

Crea il ruolo IAM di Hybrid Nodes

Per eseguire i passaggi di questa sezione, il principale IAM che utilizza la AWS console o la AWS CLI deve disporre delle seguenti autorizzazioni.

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:AttachRolePolicy

  • Se si utilizza AWS IAM Roles Anywhere

    • rolesanywhere:CreateTrustAnchor

    • rolesanywhere:CreateProfile

    • iam:PassRole

AWS CloudFormation

Installa e configura la AWS CLI, se non l'hai già fatto. Vedi Installazione o aggiornamento all'ultima versione della AWS CLI.

Passaggi per le attivazioni AWS ibride SSM

Lo CloudFormation stack crea il ruolo IAM di Hybrid Nodes con le autorizzazioni sopra descritte. Il CloudFormation modello non crea l'attivazione ibrida AWS SSM.

  1. Scarica il CloudFormation modello AWS SSM per i nodi ibridi:

    curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'

  2. Crea un file cfn-ssm-parameters.json con le seguenti opzioni:

    1. ROLE_NAMESostituiscilo con il nome del tuo ruolo IAM Hybrid Nodes. Per impostazione predefinita, il CloudFormation modello utilizza AmazonEKSHybridNodesRole come nome del ruolo creato se non si specifica un nome.

    2. TAG_KEYSostituiscilo con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Nel modello, l'impostazione predefinita è. CloudFormation TAG_KEY EKSClusterARN

    3. Sostituisci TAG_VALUE con il valore del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Se utilizzi l'impostazione predefinita TAG_KEY diEKSClusterARN, passa l'ARN del cluster EKS come. TAG_VALUE I cluster EKS ARNs hanno il formatoarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "SSMDeregisterConditionTagKey": "TAG_KEY",
    "SSMDeregisterConditionTagValue": "TAG_VALUE"
  }
}

  3. Implementa lo CloudFormation stack. STACK_NAMESostituiscilo con il tuo nome per lo stack CloudFormation .

    aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ssm-cfn.yaml \
    --parameter-overrides file://cfn-ssm-parameters.json \
    --capabilities CAPABILITY_NAMED_IAM

Passaggi per AWS IAM Roles Anywhere

Lo CloudFormation stack crea il trust anchor di AWS IAM Roles Anywhere con l'autorità di certificazione (CA) che configuri, crea il profilo AWS IAM Roles Anywhere e crea il ruolo IAM di Hybrid Nodes con le autorizzazioni descritte in precedenza.

  1. Per configurare un'autorità di certificazione (CA)

    1. Per utilizzare una risorsa CA AWS privata, apri la console AWS Private Certificate Authority. Segui le istruzioni nella Guida per l'utente di AWS Private CA.

    2. Per utilizzare una CA esterna, segui le istruzioni fornite dalla CA. L'ente del certificato viene fornito in un passaggio successivo.

    3. I certificati emessi dal pubblico CAs non possono essere utilizzati come ancoraggi di fiducia.

  2. Scarica il CloudFormation modello AWS IAM Roles Anywhere per nodi ibridi

    curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'

  3. Crea un cfn-iamra-parameters.json file con le seguenti opzioni:

    1. ROLE_NAMESostituiscilo con il nome del tuo ruolo IAM Hybrid Nodes. Per impostazione predefinita, il CloudFormation modello utilizza AmazonEKSHybridNodesRole come nome del ruolo creato se non si specifica un nome.

    2. CERT_ATTRIBUTESostituiscilo con l'attributo di certificato per computer che identifica in modo univoco l'host. L'attributo del certificato utilizzato deve corrispondere al nodeName utilizzato per la nodeadm configurazione quando si connettono nodi ibridi al cluster. Per ulteriori informazioni, consulta la nodeadmRiferimento ai nodi ibridi. Per impostazione predefinita, il CloudFormation modello utilizza ${aws:PrincipalTag/x509Subject/CN} comeCERT_ATTRIBUTE, che corrisponde al campo CN dei certificati per computer. In alternativa puoi passare $(aws:PrincipalTag/x509SAN/Name/CN} come tuo. CERT_ATTRIBUTE

    3. Sostituiscilo CA_CERT_BODY con l'ente del certificato della tua CA senza interruzioni di riga. CA_CERT_BODYDeve essere in formato Privacy Enhanced Mail (PEM). Se disponi di un certificato CA in formato PEM, rimuovi le interruzioni di riga e le righe BEGIN CERTIFICATE e END CERTIFICATE prima di inserire il corpo del certificato CA nel file. cfn-iamra-parameters.json

      {
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
    "CABundleCert": "CA_CERT_BODY"
  }
}

  4. Distribuisci il modello. CloudFormation STACK_NAMESostituiscilo con il tuo nome per lo CloudFormation stack.

    aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ira-cfn.yaml \
    --parameter-overrides file://cfn-iamra-parameters.json
    --capabilities CAPABILITY_NAMED_IAM

AWS CLI

Installa e configura la AWS CLI, se non l'hai già fatto. Vedi Installazione o aggiornamento all'ultima versione della AWS CLI.

Crea la politica del cluster EKS Descrivi

  1. Crea un file denominato eks-describe-cluster-policy.json con i seguenti contenuti:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        }
    ]
}

  2. Crea la politica con il seguente comando:

    aws iam create-policy \
    --policy-name EKSDescribeClusterPolicy \
    --policy-document file://eks-describe-cluster-policy.json

Passaggi per le attivazioni ibride AWS SSM

  1. Crea un file denominato eks-hybrid-ssm-policy.json con i seguenti contenuti. La politica concede l'autorizzazione per due azioni e. ssm:DescribeInstanceInformation ssm:DeregisterManagedInstance La policy limita l'ssm:DeregisterManagedInstanceautorizzazione alle istanze gestite da AWS SSM associate all'attivazione ibrida AWS SSM in base al tag di risorsa specificato nella politica di attendibilità.

    1. AWS_REGIONSostituiscila con la AWS regione per l'attivazione ibrida SSM AWS .

    2. AWS_ACCOUNT_IDSostituiscilo con l'ID AWS del tuo account.

    3. Sostituisci TAG_KEY con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Nel modello, l'impostazione predefinita è. CloudFormation TAG_KEY EKSClusterARN

    4. Sostituisci TAG_VALUE con il valore del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Se utilizzi l'impostazione predefinita TAG_KEY diEKSClusterARN, passa l'ARN del cluster EKS come. TAG_VALUE I cluster EKS ARNs hanno il formatoarn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

  2. Crea la politica con il seguente comando

    aws iam create-policy \
    --policy-name EKSHybridSSMPolicy \
    --policy-document file://eks-hybrid-ssm-policy.json

  3. Crea un file denominato eks-hybrid-ssm-trust.json. Sostituiscila AWS_REGION con la AWS regione dell'attivazione ibrida AWS SSM e AWS_ACCOUNT_ID con l'ID AWS del tuo account.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"AWS_ACCOUNT_ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
            }
         }
      }
   ]
}

  4. Crea il ruolo con il seguente comando.

    aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-ssm-trust.json

  5. Allega il EKSDescribeClusterPolicy e EKSHybridSSMPolicy che hai creato nei passaggi precedenti. AWS_ACCOUNT_IDSostituiscilo con l'ID AWS del tuo account.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy

  6. Allega le politiche AmazonEC2ContainerRegistryPullOnly e AmazonSSMManagedInstanceCore AWS gestisci.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

Passaggi per AWS IAM Roles Anywhere

Per utilizzare AWS IAM Roles Anywhere, devi configurare il tuo trust anchor AWS IAM Roles Anywhere prima di creare il ruolo IAM di Hybrid Nodes. Per istruzioni, consulta Configura AWS IAM Roles Anywhere.

  1. Crea un file denominato eks-hybrid-iamra-trust.json. Sostituisci TRUST_ANCHOR ARN con l'ARN del trust anchor che hai creato nei passaggi. Configura AWS IAM Roles Anywhere La condizione contenuta in questa policy di fiducia limita la capacità di AWS IAM Roles Anywhere di assumere il ruolo IAM di Hybrid Nodes di scambiare credenziali IAM temporanee solo quando il nome della sessione del ruolo corrisponde al CN nel certificato x509 installato sui nodi ibridi. In alternativa, puoi utilizzare altri attributi del certificato per identificare in modo univoco il tuo nodo. L'attributo del certificato che usi nella politica di fiducia deve corrispondere a nodeName quello impostato nella nodeadm configurazione. Per ulteriori informazioni, consulta la nodeadmRiferimento ai nodi ibridi.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        }
    ]
}

  2. Crea il ruolo con il seguente comando.

    aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-iamra-trust.json

  3. Allega EKSDescribeClusterPolicy quello che hai creato nei passaggi precedenti. AWS_ACCOUNT_IDSostituiscilo con l'ID AWS del tuo account.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy

  4. Allega la politica AmazonEC2ContainerRegistryPullOnly AWS gestita

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

AWS Management Console

Crea la politica del cluster EKS Descrivi

  1. Apri la console Amazon IAM

  2. Nel pannello di navigazione a sinistra, seleziona Policy.

  3. Nella pagina Policy, scegli Crea policy.

  4. Nella pagina Specificare le autorizzazioni, nel pannello Seleziona un servizio, scegli EKS.

    1. Filtra le azioni DescribeClustere seleziona l'azione DescribeClusterLeggi.

    2. Scegli Next (Successivo).

  5. Nella pagina Rivedi e crea

    1. Inserisci un nome per la tua politica, ad esempioEKSDescribeClusterPolicy.

    2. Scegli Create Policy (Crea policy).

Passaggi per le attivazioni ibride AWS SSM

  1. Apri la console Amazon IAM

  2. Nel pannello di navigazione a sinistra, seleziona Policy.

  3. Nella pagina Policy, scegli Crea policy.

  4. Nella pagina Specificare le autorizzazioni, nella barra di navigazione in alto a destra dell'editor delle politiche, scegli JSON. Incolla il seguente frammento. AWS_REGIONSostituiscilo con la AWS regione dell'attivazione ibrida AWS SSM e sostituiscilo AWS_ACCOUNT_ID con l'ID del tuo AWS account. Sostituisci TAG_KEY e TAG_VALUE con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

    1. Scegli Next (Successivo).

  5. Nella pagina Rivedi e crea.

    1. Inserisci un nome per la tua politica, ad esempio EKSHybridSSMPolicy

    2. Scegliere Create Policy (Crea policy).

  6. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  7. Nella pagina Ruoli, seleziona Crea ruolo.

  8. Nella pagina Seleziona un'entità attendibile, esegui le operazioni seguenti:

    1. Nella sezione Tipo di entità affidabile, scegli Politica di fiducia personalizzata. Incolla quanto segue nell'editor delle politiche di fiducia personalizzate. Sostituiscilo AWS_REGION con la AWS regione dell'attivazione ibrida AWS SSM e AWS_ACCOUNT_ID con l'ID AWS del tuo account.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"AWS_ACCOUNT_ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
            }
         }
      }
   ]
}

    2. Scegli Next (Successivo).

  9. Nella pagina Aggiungi autorizzazioni, collega una policy personalizzata o esegui le operazioni seguenti:

    1. Nella casella Filtra politicheEKSDescribeClusterPolicy, inserisci o il nome della politica che hai creato sopra. Seleziona la casella di controllo a sinistra del nome della polizza nei risultati della ricerca.

    2. Nella casella Filtra le politicheEKSHybridSSMPolicy, inserisci o il nome della politica che hai creato sopra. Seleziona la casella di controllo a sinistra del nome della polizza nei risultati della ricerca.

    3. Nella casella Filtra policy, inserisci AmazonEC2ContainerRegistryPullOnly. Seleziona la casella di controllo a sinistra AmazonEC2ContainerRegistryPullOnly nei risultati della ricerca.

    4. Nella casella Filtra policy, inserisci AmazonSSMManagedInstanceCore. Seleziona la casella di controllo a sinistra dei AmazonSSMManagedInstanceCore risultati della ricerca.

    5. Scegli Next (Successivo).

  10. Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:

    1. Per Role name (Nome ruolo), inserisci un nome univoco per il ruolo, ad esempio AmazonEKSHybridNodesRole.

    2. Per Description (Descrizione), sostituisci il testo corrente con un testo descrittivo come Amazon EKS - Hybrid Nodes role.

    3. Scegliere Crea ruolo.

Passaggi per AWS IAM Roles Anywhere

Per utilizzare AWS IAM Roles Anywhere, devi configurare il tuo trust anchor AWS IAM Roles Anywhere prima di creare il ruolo IAM di Hybrid Nodes. Per istruzioni, consulta Configura AWS IAM Roles Anywhere.

  1. Apri la console Amazon IAM

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Nella pagina Ruoli, seleziona Crea ruolo.

  4. Nella pagina Seleziona un'entità attendibile, esegui le operazioni seguenti:

    1. Nella sezione Tipo di entità affidabile, scegli Politica di fiducia personalizzata. Incolla quanto segue nell'editor delle politiche di fiducia personalizzate. Sostituisci TRUST_ANCHOR ARN con l'ARN del trust anchor che hai creato nei passaggi. Configura AWS IAM Roles Anywhere La condizione contenuta in questa policy di fiducia limita la capacità di AWS IAM Roles Anywhere di assumere il ruolo IAM di Hybrid Nodes di scambiare credenziali IAM temporanee solo quando il nome della sessione del ruolo corrisponde al CN nel certificato x509 installato sui nodi ibridi. In alternativa, puoi utilizzare altri attributi del certificato per identificare in modo univoco il tuo nodo. L'attributo del certificato che usi nella policy di fiducia deve corrispondere al nodeName impostato nella configurazione nodeadm. Per ulteriori informazioni, consulta la nodeadmRiferimento ai nodi ibridi.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        }
    ]
}

    2. Scegli Next (Successivo).

  5. Nella pagina Aggiungi autorizzazioni, collega una policy personalizzata o esegui le operazioni seguenti:

    1. Nella casella Filtra policyEKSDescribeClusterPolicy, inserisci o il nome della policy che hai creato sopra. Seleziona la casella di controllo a sinistra del nome della polizza nei risultati della ricerca.

    2. Nella casella Filtra policy, inserisci AmazonEC2ContainerRegistryPullOnly. Seleziona la casella di controllo a sinistra AmazonEC2ContainerRegistryPullOnly nei risultati della ricerca.

    3. Scegli Next (Successivo).

  6. Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:

    1. Per Role name (Nome ruolo), inserisci un nome univoco per il ruolo, ad esempio AmazonEKSHybridNodesRole.

    2. Per Description (Descrizione), sostituisci il testo corrente con un testo descrittivo come Amazon EKS - Hybrid Nodes role.

    3. Scegliere Crea ruolo.