**Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ruolo IAM di esecuzione del pod di Amazon EKS
<a name="pod-execution-role"></a>

Il ruolo di esecuzione di Amazon EKS Pod è necessario per eseguire Pods sull'infrastruttura AWS Fargate.

Quando il cluster crea Pods sull'infrastruttura AWS Fargate, i componenti in esecuzione sull'infrastruttura Fargate devono effettuare chiamate AWS APIs per conto dell'utente. In questo modo possono eseguire azioni come estrarre le immagini dei container da Amazon ECR o indirizzare i log ad altri AWS servizi. Il ruolo di esecuzione del pod Amazon EKS fornisce le autorizzazioni IAM per eseguire questa operazione.

Quando si crea un profilo Fargate, è necessario specificare un ruolo di esecuzione del pod per i componenti Amazon EKS che vengono eseguiti su infrastruttura Fargate utilizzando il profilo. Questo ruolo è aggiunto al [controllo di accesso basato sul ruolo](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) (RBAC) di Kubernetes del cluster per l’autorizzazione. Ciò consente al `kubelet` in esecuzione sull’infrastruttura Fargate di registrarsi con il cluster Amazon EKS in modo che possa essere visualizzato nel cluster come nodo.

**Nota**  
Il profilo Fargate deve avere un ruolo IAM diverso rispetto ai gruppi di EC2 nodi Amazon.

**Importante**  
I container in esecuzione nel pod Fargate non possono assumere le autorizzazioni IAM associate a un ruolo di esecuzione del pod. Per concedere ai contenitori del tuo Fargate Pod le autorizzazioni per accedere ad altri AWS servizi, devi utilizzare i [ruoli IAM per](iam-roles-for-service-accounts.md) gli account di servizio.

[Prima di creare un profilo Fargate, devi creare un ruolo IAM con Amazon. EKSFargate PodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html)

## Verificare la presenza di un ruolo di esecuzione del pod esistente configurato correttamente
<a name="check-pod-execution-role"></a>

Per verificare se l’account dispone già di un ruolo di esecuzione del pod Amazon EKS configurato correttamente, utilizzare la procedura indicata di seguito. Per prevenire il problema di sicurezza di un delegato confuso, è importante che il ruolo limiti l’accesso in base a `SourceArn`. È possibile modificare il ruolo di esecuzione secondo necessità per includere il supporto per i profili Fargate su altri cluster.

1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.

1. Nella pagina **Ruoli**, cerca l'elenco dei ruoli per **Amazon EKSFargate PodExecutionRole**. Se il ruolo non esiste, consulta [Creazione del ruolo di esecuzione del pod Amazon EKS](#create-pod-execution-role) per crearlo. Se il ruolo è presente, selezionalo.

1. Nella EKSFargate PodExecutionRole pagina **Amazon**, procedi come segue:

   1. Seleziona **Autorizzazioni**.

   1. Assicurati che la policy gestita da **EKSFargatePodExecutionRolePolicyAmazon** Amazon sia associata al ruolo.

   1. Scegli **Trust relationships (Relazioni di trust)**.

   1. Seleziona **Edit trust policy** (Modifica policy di attendibilità).

1. Nella pagina **Edit trust policy** (Modifica policy di attendibilità), verifica che la relazione di attendibilità contenga la policy seguente e una riga per i profili Fargate nel cluster. In tal caso, scegli **Cancel** (Annulla).

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Condition": {
            "ArnLike": {
               "aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
            }
         },
         "Principal": {
           "Service": "eks-fargate-pods.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

   Se la policy corrisponde ma non contiene una riga che specifica i profili Fargate sul cluster, aggiungi la riga riportata di seguito nella parte superiore dell’oggetto `ArnLike`. Sostituiscilo *region-code* con la AWS regione in cui si trova il cluster, *111122223333* con l'ID dell'account e *my-cluster* con il nome del cluster.

   ```
   "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",
   ```

   Se la policy non corrisponde, copia la policy precedente nel modulo e scegli **Update policy** (Aggiorna policy). Sostituiscilo *region-code* con la AWS regione in cui si trova il cluster. Se desideri utilizzare lo stesso ruolo in tutte le AWS regioni del tuo account, sostituiscilo *region-code* con`*`. Sostituisci *111122223333* con il tuo ID account e *my-cluster* con il nome del cluster. Se vuoi usare lo stesso ruolo per tutti i cluster dell'account, sostituisci *my-cluster* con `*`.

## Creazione del ruolo di esecuzione del pod Amazon EKS
<a name="create-pod-execution-role"></a>

Se non disponi già del ruolo di esecuzione di Amazon EKS Pod per il tuo cluster, puoi utilizzare Console di gestione AWS o la AWS CLI per crearlo.

 Console di gestione AWS   

1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.

1. Nella pagina **Ruoli**, seleziona **Crea ruolo**.

1. Nella pagina **Seleziona un’entità attendibile**, esegui le operazioni seguenti:

   1. Nella sezione **Tipo di entità affidabile**, scegli ** AWS servizio**.

   1. Dall'elenco a discesa **Casi d'uso per altri AWS servizi**, scegli **EKS**.

   1. Scegli **EKS - Pod Fargate**.

   1. Scegli **Next (Successivo)**.

1. Nella pagina **Add permissions** (Aggiungi autorizzazioni), scegli **Next** (Successivo).

1. Nella pagina **Name, review, and create** (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:

   1. Per **Nome ruolo**, inserisci un nome univoco per il ruolo, ad esempio `AmazonEKSFargatePodExecutionRole`.

   1. In **Aggiungi tag (facoltativo)**, aggiungi metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull’utilizzo di tag in IAM, consulta la sezione [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l’utente di IAM*.

   1. Scegli **Crea ruolo**.

1. Nella pagina **Ruoli**, cerca l'elenco dei ruoli per **Amazon EKSFargate PodExecutionRole**. Seleziona il ruolo.

1. Nella EKSFargate PodExecutionRole pagina **Amazon**, procedi come segue:

   1. Scegli **Trust relationships (Relazioni di trust)**.

   1. Seleziona **Edit trust policy** (Modifica policy di attendibilità).

1. Nella pagina **Modifica policy di attendibilità**, effettua le operazioni seguenti:

   1. Copia e incolla il contenuto seguente nel modello **Modifica policy di attendibilità**. Sostituisci *region-code* con la AWS regione in cui si trova il cluster. Se desideri utilizzare lo stesso ruolo in tutte le AWS regioni del tuo account, sostituiscilo *region-code* con`*`. Sostituisci *111122223333* con il tuo ID account e *my-cluster* con il nome del cluster. Se vuoi usare lo stesso ruolo per tutti i cluster dell'account, sostituisci *my-cluster* con `*`.

      ```
      {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
          {
            "Effect": "Allow",
            "Condition": {
               "ArnLike": {
                  "aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
               }
            },
            "Principal": {
              "Service": "eks-fargate-pods.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
          }
        ]
      }
      ```

   1. Scegli **Aggiorna policy**.

 AWS CLI  

1. Copia e incolla il contenuto seguente in un file denominato `pod-execution-role-trust-policy.json`. Sostituisci *region-code* con la AWS regione in cui si trova il cluster. Se desideri utilizzare lo stesso ruolo in tutte le AWS regioni del tuo account, sostituiscilo *region-code* con`*`. Sostituisci *111122223333* con il tuo ID account e *my-cluster* con il nome del cluster. Se vuoi usare lo stesso ruolo per tutti i cluster dell'account, sostituisci *my-cluster* con `*`.

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Condition": {
            "ArnLike": {
               "aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
            }
         },
         "Principal": {
           "Service": "eks-fargate-pods.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

1. Creare un ruolo IAM di esecuzione del pod.

   ```
   aws iam create-role \
     --role-name AmazonEKSFargatePodExecutionRole \
     --assume-role-policy-document file://"pod-execution-role-trust-policy.json"
   ```

1. Allega la policy IAM gestita da Amazon EKS richiesta al ruolo.

   ```
   aws iam attach-role-policy \
     --policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \
     --role-name AmazonEKSFargatePodExecutionRole
   ```