Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Preparar as credenciais para nós híbridos

PDF
RSS
Modo de foco
Preparar as credenciais para nós híbridos - Amazon EKS
Perfil do IAM para nós híbridosConfigurar ativações híbridas do AWS SSMConfigurar o AWS IAM Roles AnywhereCriar o perfil do IAM de nós híbridos

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

O Amazon EKS Hybrid Nodes usa credenciais temporárias do IAM provisionadas por ativações híbridas do AWS SSM ou pelo AWS IAM Roles Anywhere para se autenticar com o cluster do Amazon EKS. Você deve usar as ativações híbridas do AWS SSM ou o AWS IAM Roles Anywhere com a CLI do Amazon EKS Hybrid Nodes (nodeadm). Você não deve usar as ativações híbridas do AWS SSM e o AWS IAM Roles Anywhere juntos. É recomendável usar as ativações híbridas do AWS SSM caso não tenha uma infraestrutura de chave pública (PKI) existente com uma autoridade de certificação (CA) e certificados para seus ambientes on-premises. Se você já tem uma PKI e certificados on-premises, use o AWS IAM Roles Anywhere.

Perfil do IAM para nós híbridos

Antes de poder conectar nós híbridos ao cluster do Amazon EKS, você deve criar um perfil do IAM que será usado com as ativações híbridas do AWS SSM ou o AWS IAM Roles Anywhere para as credenciais dos nós híbridos. Após a criação do cluster, você usará esse perfil com uma entrada de acesso do Amazon EKS ou uma entrada do ConfigMap aws-auth para mapear o perfil do IAM para o controle de acesso por perfil (RBAC) do Kubernetes. Para obter mais informações sobre como associar o perfil do IAM de nós híbridos ao RBAC do Kubernetes, consulte Preparar o acesso ao cluster para nós híbridos.

O perfil do IAM de nós híbridos deve ter as permissões a seguir.

  • Permissões de nodeadm para usar a ação eks:DescribeCluster para coletar informações sobre o cluster usado para conectar nós híbridos ao cluster. Caso não habilite a ação eks:DescribeCluster, você deverá passar o endpoint da API do Kubernetes, o pacote da CA do cluster e o CIDR IPv4 do serviço na configuração do nó que você passa para nodeadm ao executar a inicialização de nodeadm.

  • Permissões para que o kubelet use imagens de contêiner do Amazon Elastic Container Registry (Amazon ECR), conforme definido pela política AmazonEC2ContainerRegistryPullOnly.

  • Caso esteja usando o AWS SSM, as permissões para a inicialização de nodeadm usar as ativações híbridas do AWS SSM, conforme definido na política aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html.

  • Caso esteja usando o AWS SSM, as permissões para usar a ação ssm:DeregisterManagedInstance e a ação ssm:DescribeInstanceInformation para nodeadm uninstall cancelar o registro de instâncias.

  • (Opcional) Permissões para que o Amazon EKS Pod Identity Agent use a ação eks-auth:AssumeRoleForPodIdentity para recuperar credenciais para pods.

Configurar ativações híbridas do AWS SSM

Antes de configurar as ativações híbridas do AWS SSM, você deve ter um perfil do IAM de nós híbridos criado e configurado. Para ter mais informações, consulte Criar o perfil do IAM de nós híbridos. Siga as instruções em Criar uma ativação híbrida para registrar nós no Systems Manager no Guia do usuário do AWS Systems Manager para criar uma ativação híbrida do AWS SSM para os nós híbridos. O ID e o código de ativação que você recebe são usados com nodeadm quando você registra os hosts como nós híbridos com o cluster do Amazon EKS. Você pode voltar a esta etapa posteriormente depois de criar e preparar os clusters do Amazon EKS para nós híbridos.

Importante

O Systems Manager retorna imediatamente o ID e o código de ativação para o console ou a janela de comando, dependendo de como você criou a ativação. Copie essas informações e armazene-as em um local seguro. Se você sair do console ou fechar a janela de comando, poderá perder essas informações. Se perdê-las, você deverá criar outra ativação.

Por padrão, as ativações híbridas do AWS SSM ficam ativas por 24 horas. Como alternativa, você pode especificar uma --expiration-date ao criar a ativação híbrida no formato de carimbo de data e hora, como 2024-08-01T00:00:00. Quando você usa o AWS SSM como o provedor de credenciais, o nome do nó para os nós híbridos não é configurável e é gerado automaticamente pelo AWS SSM. Você pode visualizar e gerenciar as instâncias gerenciadas pelo AWS SSM no console do AWS Systems Manager em Fleet Manager. Você pode registrar até mil nós padrão ativados para ambiente híbrido por conta por região da AWS sem custo adicional. No entanto, para registrar mais de 1.000 nós híbridos, você precisa ativar o nível de instâncias avançadas. Há uma cobrança para o uso do nível de instâncias avançadas que não está incluída nos preços do Amazon EKS Hybrid Nodes. Para obter mais informações, consulte Preços do AWS Systems Manager.

Veja o exemplo abaixo para saber como criar uma ativação híbrida do AWS SSM com o perfil do IAM de nós híbridos. Quando você usa ativações híbridas do AWS SSM para as credenciais de nós híbridos, os nomes dos nós híbridos terão o formato mi-012345678abcdefgh e as credenciais temporárias provisionadas pelo AWS SSM serão válidas por uma hora. Você não pode alterar o nome do nó ou a duração da credencial ao usar o AWS SSM como seu provedor de credenciais. As credenciais temporárias são rotacionadas automaticamente pelo AWS SSM, e a rotação não afeta o status dos nós ou das aplicações.

É recomendável usar uma ativação híbrida do AWS SSM por cluster do EKS para definir o escopo da permissão ssm:DeregisterManagedInstance do AWS SSM do perfil do IAM de nós híbridos para poder cancelar o registro somente de instâncias associadas à ativação híbrida do AWS SSM. No exemplo desta página, é usada uma tag com o ARN do cluster do EKS, que pode ser usada para mapear a ativação híbrida do AWS SSM para o cluster do EKS. Como alternativa, você pode usar a tag e o método de preferência para definir o escopo das permissões do AWS SSM com base nos requisitos e limites de permissões. A opção REGISTRATION_LIMIT no comando abaixo é um número inteiro usado para limitar o número de máquinas que podem usar a ativação híbrida do AWS SSM (por exemplo, 10)

aws ssm create-activation \
     --region AWS_REGION \
     --default-instance-name eks-hybrid-nodes \
     --description "Activation for EKS hybrid nodes" \
     --iam-role AmazonEKSHybridNodesRole \
     --tags Key=EKSClusterARN,Value=arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
     --registration-limit REGISTRATION_LIMIT

Consulte as instruções em Criar uma ativação híbrida para registrar nós no Systems Manager para obter mais informações sobre as configurações disponíveis para ativações híbridas do AWS SSM.

Configurar o AWS IAM Roles Anywhere

Siga as instruções em Getting started with IAM Roles Anywhere no Guia do usuário do IAM Roles Anywhere para configurar a âncora de confiança e o usuário que você usará para as credenciais temporárias do IAM para o perfil do IAM de nós híbridos. Ao criar seu usuário, você poderá criá-lo sem adicionar nenhum perfil. Você pode criar o usuário, retornar a essas etapas para criar o perfil do IAM de nós híbridos e, em seguida, adicionar o perfil ao seu usuário após a criação. Como alternativa, você pode usar as etapas do AWS CloudFormation mais adiante nesta página para concluir a configuração do IAM Roles Anywhere para nós híbridos.

Ao adicionar o perfil do IAM de nós híbridos ao seu usuário, selecione Aceitar nome da sessão do perfil personalizado no painel do nome da sessão Perfil personalizado na parte inferior da página Editar usuário no console do AWS IAM Roles Anywhere. Isso corresponde ao campo acceptRoleSessionName da API CreateProfile. Isso permite que você forneça um nome de nó personalizado para os nós híbridos na configuração que você passa para nodeadm durante o processo de bootstrap. É necessário passar um nome de nó personalizado durante o processo de nodeadm init. Você pode atualizar seu usuário para aceitar um nome de sessão de usuário personalizado depois de criá-lo.

Você pode configurar a duração da validade da credencial com o AWS IAM Roles Anywhere por meio do campo durationSeconds do seu perfil do AWS IAM Roles Anywhere. A duração padrão é de uma hora, com um máximo de 12 horas. A configuração de MaxSessionDuration no perfil do IAM de nós híbridos deve ser maior do que a configuração de durationSeconds no seu usuário do AWS IAM Roles Anywhere. Para obter mais informações sobre MaxSessionDuration, consulte a documentação da API UpdateRole.

Os certificados e as chaves por máquina que você gera da autoridade de certificação (CA) devem ser colocados no diretório /etc/iam/pki em cada nó híbrido com os nomes de arquivo server.pem para o certificado e server.key para a chave.

Criar o perfil do IAM de nós híbridos

Para executar as etapas desta seção, a entidade principal do IAM que usa o Console da AWS ou a AWS CLI deve ter as permissões a seguir.

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:AttachRolePolicy

  • Se estiver usando o AWS IAM Roles Anywhere

    • rolesanywhere:CreateTrustAnchor

    • rolesanywhere:CreateProfile

    • iam:PassRole

AWS CloudFormation

Instale e configure a AWS CLI, caso ainda não o tenha feito. Consulte Installing or updating to the last version of the AWS CLI.

Etapas para as ativações híbridas do AWS SSM

A pilha do CloudFormation cria o perfil do IAM de nós híbridos com as permissões descritas acima. O modelo do CloudFormation não cria a ativação híbrida do AWS SSM.

  1. Faça download do modelo do CloudFormation do AWS SSM para nós híbridos:

    curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'

  2. Crie um cfn-ssm-parameters.json com as seguintes opções:

    1. Substitua ROLE_NAME pelo nome do perfil do IAM de nós híbridos. Por padrão, o modelo do CloudFormation usa o AmazonEKSHybridNodesRole como nome do perfil que ele cria, caso você não especifique um nome.

    2. Substitua TAG_KEY pela chave de tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de ssm:DeregisterManagedInstance para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. No modelo do CloudFormation, TAG_KEY é definido como EKSClusterARN.

    3. Substitua TAG_VALUE pelo valor da tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de ssm:DeregisterManagedInstance para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. Caso esteja usando o padrão TAG_KEY de EKSClusterARN, passe o ARN do cluster do EKS como TAG_VALUE. Os ARNs dos clusters do EKS têm o formato arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "SSMDeregisterConditionTagKey": "TAG_KEY",
    "SSMDeregisterConditionTagValue": "TAG_VALUE"
  }
}

  3. Implante a pilha do CloudFormation. Substitua STACK_NAME pelo nome da pilha do CloudFormation.

    aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ssm-cfn.yaml \
    --parameter-overrides file://cfn-ssm-parameters.json \
    --capabilities CAPABILITY_NAMED_IAM

Etapas do AWS IAM Roles Anywhere

A pilha do CloudFormation cria a âncora de confiança do AWS IAM Roles Anywhere com a autoridade de certificação (CA) que você configura, cria o usuário do AWS IAM Roles Anywhere e cria o perfil do IAM de nós híbridos com as permissões descritas anteriormente.

  1. Para configurar uma autoridade de certificação (CA)

    1. Para usar um recurso do AWS Private CA, abra o console do AWS Private Certificate Authority. Siga as instruções no Guia do usuário do AWS Private CA.

    2. Para usar uma CA externa, siga as instruções fornecidas pela CA. Você fornece o corpo do certificado em uma etapa posterior.

    3. Os certificados emitidos por CAs públicas não podem ser usados como âncoras de confiança.

  2. Fazer download do modelo do CloudFormation do AWS IAM Roles Anywhere para nós híbridos

    curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'

  3. Crie um cfn-iamra-parameters.json com as seguintes opções:

    1. Substitua ROLE_NAME pelo nome do perfil do IAM de nós híbridos. Por padrão, o modelo do CloudFormation usa o AmazonEKSHybridNodesRole como nome do perfil que ele cria, caso você não especifique um nome.

    2. Substitua CERT_ATTRIBUTE pelo atributo de certificado por máquina que identifica exclusivamente o host. O atributo de certificado que você usa deve corresponder ao nodeName que você usa para a configuração de nodeadm ao conectar nós híbridos ao cluster. Para obter mais informações, consulte Referência do nodeadm para nós híbridos. Por padrão, o modelo do CloudFormation usa ${aws:PrincipalTag/x509Subject/CN} como CERT_ATTRIBUTE, o que corresponde ao campo CN dos certificados por máquina. Como alternativa, você pode passar $(aws:PrincipalTag/x509SAN/Name/CN} como CERT_ATTRIBUTE.

    3. Substitua CA_CERT_BODY pelo corpo do certificado da CA sem quebras de linha. CA_CERT_BODY deve estar no formato Privacy Enhanced Mail (PEM). Se você tiver um certificado CA no formato PEM, remova as quebras de linha e as linhas BEGIN CERTIFICATE e END CERTIFICATE antes de colocar o corpo do certificado CA no arquivo cfn-iamra-parameters.json.

      {
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
    "CABundleCert": "CA_CERT_BODY"
  }
}

  4. Implemente o modelo do CloudFormation Substitua STACK_NAME pelo nome da pilha do CloudFormation.

    aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ira-cfn.yaml \
    --parameter-overrides file://cfn-iamra-parameters.json
    --capabilities CAPABILITY_NAMED_IAM

AWS CLI

Instale e configure a AWS CLI, caso ainda não o tenha feito. Consulte Installing or updating to the last version of the AWS CLI.

Criar política de descrição de cluster do EKS

  1. Crie um arquivo denominado eks-describe-cluster-policy.json com o conteúdo a seguir:

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        }
    ]
}

  2. Crie a política com o seguinte comando:

    aws iam create-policy \
    --policy-name EKSDescribeClusterPolicy \
    --policy-document file://eks-describe-cluster-policy.json

Etapas para as ativações híbridas do AWS SSM

  1. Crie um arquivo denominado eks-hybrid-ssm-policy.json com o seguinte conteúdo: A política concede permissão para duas ações: ssm:DescribeInstanceInformation e ssm:DeregisterManagedInstance. A política restringe a permissão ssm:DeregisterManagedInstance às instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM com base na tag de recurso que você especifica na política de confiança.

    1. Substitua AWS_REGION pela região da AWS da ativação híbrida do AWS SSM.

    2. Substitua AWS_ACCOUNT_ID pelo ID de sua conta da AWS.

    3. Substitua TAG_KEY pela chave de tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de ssm:DeregisterManagedInstance para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. No modelo do CloudFormation, TAG_KEY é definido como EKSClusterARN.

    4. Substitua TAG_VALUE pelo valor da tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de ssm:DeregisterManagedInstance para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. Caso esteja usando o padrão TAG_KEY de EKSClusterARN, passe o ARN do cluster do EKS como TAG_VALUE. Os ARNs dos clusters do EKS têm o formato arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

  2. Crie a política com o comando a seguir.

    aws iam create-policy \
    --policy-name EKSHybridSSMPolicy \
    --policy-document file://eks-hybrid-ssm-policy.json

  3. Crie um arquivo chamado eks-hybrid-ssm-trust.json. Substitua AWS_REGION pela região da AWS da ativação híbrida do AWS SSM e AWS_ACCOUNT_ID pelo ID da conta da AWS.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"AWS_ACCOUNT_ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
            }
         }
      }
   ]
}

  4. Crie o perfil com o comando a seguir.

    aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-ssm-trust.json

  5. Anexe as políticas EKSDescribeClusterPolicy e EKSHybridSSMPolicy que você criou nas etapas anteriores. Substitua AWS_ACCOUNT_ID pelo ID de sua conta da AWS.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy

  6. Anexe as políticas AmazonEC2ContainerRegistryPullOnly e AmazonSSMManagedInstanceCore gerenciadas pela AWS.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

Etapas do AWS IAM Roles Anywhere

Para usar o AWS IAM Roles Anywhere, você deve configurar a âncora de confiança do AWS IAM Roles Anywhere antes de criar o perfil do IAM de nós híbridos. Para obter instruções, consulte Configurar o AWS IAM Roles Anywhere.

  1. Crie um arquivo chamado eks-hybrid-iamra-trust.json. Substitua TRUST_ANCHOR ARN pelo ARN da âncora de confiança criada nas etapas de Configurar o AWS IAM Roles Anywhere. A condição nessa política de confiança restringe a capacidade do AWS IAM Roles Anywhere de assumir o perfil do IAM de nós híbridos para trocar as credenciais temporárias do IAM somente quando o nome da sessão do perfil corresponder ao CN no certificado x509 instalado nos nós híbridos. Como alternativa, você pode usar outros atributos de certificado para identificar o nó de forma exclusiva. O atributo do certificado que você usa na política de confiança deve corresponder ao nodeName que você definiu na configuração de nodeadm. Para obter mais informações, consulte Referência do nodeadm para nós híbridos.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        }
    ]
}

  2. Crie o perfil com o comando a seguir.

    aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-iamra-trust.json

  3. Anexe a política EKSDescribeClusterPolicy que você criou nas etapas anteriores. Substitua AWS_ACCOUNT_ID pelo ID de sua conta da AWS.

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy

  4. Anexar a política AmazonEC2ContainerRegistryPullOnly gerenciada pela AWS

    aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

AWS Management Console

Criar política de descrição de cluster do EKS

  1. Abra o console do Amazon IAM.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Na página Políticas, escolha Criar política.

  4. Na página Especificar permissões, no painel Selecionar um serviço, escolha EKS.

    1. Filtre as ações de DescribeCluster e selecione a ação de leitura DescribeCluster.

    2. Escolha Próximo.

  5. Na página Analisar e criar

    1. Insira um Nome de política para a política, como EKSDescribeClusterPolicy.

    2. Escolha Criar política.

Etapas para as ativações híbridas do AWS SSM

  1. Abra o console do Amazon IAM.

  2. No painel de navegação à esquerda, escolha Políticas.

  3. Na página Políticas, escolha Criar política.

  4. Na página Especificar permissões, no Editor de políticas na parte superior direita da navegação, escolha JSON. Cole o trecho a seguir. Substitua AWS_REGION pela região da AWS da ativação híbrida do AWS SSM e substitua AWS_ACCOUNT_ID pelo ID da conta da AWS. Substitua TAG_KEY e TAG_VALUE pela chave de tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

    1. Escolha Próximo.

  5. Na página Analisar e criar.

    1. Insira um nome de Política para a política, como EKSHybridSSMPolicy.

    2. Escolha Criar política.

  6. No painel de navegação à esquerda, selecione Perfis.

  7. Na página Roles (Funções), selecione Create role (Criar função).

  8. Na página Select trusted entity (Selecionar entidade confiável), faça o seguinte:

    1. Na Seção do tipo de entidade confiável, escolha Política de confiança personalizada. Cole o indicado abaixo no editor de políticas de confiança personalizadas. Substitua AWS_REGION pela região da AWS da ativação híbrida do AWS SSM e AWS_ACCOUNT_ID pelo ID da conta da AWS.

      {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"AWS_ACCOUNT_ID"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:AWS_REGION:AWS_ACCOUNT_ID:*"
            }
         }
      }
   ]
}

    2. Escolha Next (próximo).

  9. Na página Add permissions (Adicionar permissões), faça o seguinte:

    1. Na caixa Filtrar políticas, insira EKSDescribeClusterPolicy ou o nome da política que você criou acima. Marque a caixa de seleção à esquerda do nome da política nos resultados da pesquisa.

    2. Na caixa Filtrar políticas, insira EKSHybridSSMPolicy ou o nome da política que você criou acima. Marque a caixa de seleção à esquerda do nome da política nos resultados da pesquisa.

    3. Na caixa Filter policies (Políticas de filtro) insira AmazonEC2ContainerRegistryPullOnly. Marque a caixa de seleção à esquerda de AmazonEC2ContainerRegistryPullOnly nos resultados da pesquisa.

    4. Na caixa Filter policies (Políticas de filtro) insira AmazonSSMManagedInstanceCore. Marque a caixa de seleção à esquerda de AmazonSSMManagedInstanceCore nos resultados da pesquisa.

    5. Escolha Próximo.

  10. Na página Name, review, and create (Nomear, revisar e criar), faça o seguinte:

    1. Em Role name (Nome da função), insira um nome exclusivo para a função, como AmazonEKSHybridNodesRole.

    2. Em Description (Descrição), substitua o texto atual por um texto descritivo como Amazon EKS - Hybrid Nodes role.

    3. Selecione Criar perfil.

Etapas do AWS IAM Roles Anywhere

Para usar o AWS IAM Roles Anywhere, você deve configurar a âncora de confiança do AWS IAM Roles Anywhere antes de criar o perfil do IAM de nós híbridos. Para obter instruções, consulte Configurar o AWS IAM Roles Anywhere.

  1. Abra o console do Amazon IAM.

  2. No painel de navegação à esquerda, selecione Perfis.

  3. Na página Roles (Funções), selecione Create role (Criar função).

  4. Na página Select trusted entity (Selecionar entidade confiável), faça o seguinte:

    1. Na Seção do tipo de entidade confiável, escolha Política de confiança personalizada. Cole o indicado abaixo no editor de políticas de confiança personalizadas. Substitua TRUST_ANCHOR ARN pelo ARN da âncora de confiança criada nas etapas de Configurar o AWS IAM Roles Anywhere. A condição nessa política de confiança restringe a capacidade do AWS IAM Roles Anywhere de assumir o perfil do IAM de nós híbridos para trocar as credenciais temporárias do IAM somente quando o nome da sessão do perfil corresponder ao CN no certificado x509 instalado nos nós híbridos. Como alternativa, você pode usar outros atributos de certificado para identificar o nó de forma exclusiva. O atributo de certificado que você usa na política de confiança deve corresponder ao nodeName definido na configuração de nodeadm. Para obter mais informações, consulte Referência do nodeadm para nós híbridos.

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "TRUST_ANCHOR_ARN"
                }
            }
        }
    ]
}

    2. Escolha Next (próximo).

  5. Na página Add permissions (Adicionar permissões), faça o seguinte:

    1. Na caixa Filtrar políticas, insira EKSDescribeClusterPolicy ou o nome da política que você criou acima. Marque a caixa de seleção à esquerda do nome da política nos resultados da pesquisa.

    2. Na caixa Filter policies (Políticas de filtro) insira AmazonEC2ContainerRegistryPullOnly. Marque a caixa de seleção à esquerda de AmazonEC2ContainerRegistryPullOnly nos resultados da pesquisa.

    3. Escolha Próximo.

  6. Na página Name, review, and create (Nomear, revisar e criar), faça o seguinte:

    1. Em Role name (Nome da função), insira um nome exclusivo para a função, como AmazonEKSHybridNodesRole.

    2. Em Description (Descrição), substitua o texto atual por um texto descritivo como Amazon EKS - Hybrid Nodes role.

    3. Selecione Criar perfil.

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.