Habilitar IAM funções para contas de serviço (IRSA) no EKS cluster - Amazon EMR
Para criar um provedor de IAM OIDC identidade para seu cluster com eksctlPara criar um provedor de IAM OIDC identidade para seu cluster com o AWS Management Console

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar IAM funções para contas de serviço (IRSA) no EKS cluster

O recurso de IAM funções para contas de serviço está disponível nas EKS versões 1.14 e posteriores da Amazon e para EKS clusters que são atualizados para as versões 1.13 ou posteriores em ou após 3 de setembro de 2019. Para usar esse recurso, você pode atualizar os EKS clusters existentes para a versão 1.14 ou posterior. Para obter mais informações, consulte Atualização de uma versão do Kubernetes EKS do cluster da Amazon.

Se seu cluster suporta IAM funções para contas de serviço, ele tem um emissor do OpenID Connect URL associado a ele. Você pode ver isso URL no EKS console da Amazon ou usar o AWS CLI comando a seguir para recuperá-lo.

Importante

Você deve usar a versão mais recente do AWS CLI para receber a saída adequada desse comando.

aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

A saída esperada é semelhante à apresentada a seguir.

https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

Para usar IAM funções para contas de serviço em seu cluster, você deve criar um provedor de OIDC identidade usando eksctl ou o. AWS Management Console

Para criar um provedor de IAM OIDC identidade para seu cluster com eksctl

Verifique a versão do eksctl com o comando a seguir. Este procedimento pressupõe que você instalou o eksctl e que a versão do eksctl seja 0.32.0 ou posterior.

eksctl version

Para obter mais informações sobre como instalar ou atualizar o eksctl, consulte Instalar ou atualizar o eksctl.

Crie seu provedor de OIDC identidade para seu cluster com o comando a seguir. Substituir cluster_name com seu próprio valor.

eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve

Para criar um provedor de IAM OIDC identidade para seu cluster com o AWS Management Console

Recupere o OIDC emissor URL da descrição do EKS console Amazon do seu cluster ou use o comando a seguir AWS CLI .

Use o comando a seguir para recuperar o OIDC emissor URL do. AWS CLI

aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

Use as etapas a seguir para recuperar o OIDC emissor URL do console da AmazonEKS.

  1. Abra o IAM console em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha Provedores de identidade e, em seguida, selecione Criar provedor.

    1. Para Tipo de provedor, escolha Escolher um tipo de provedor e escolha OpenID Connect.

    2. URLEm Provider, cole o OIDC emissor do URL seu cluster.

    3. Para Público, digite sts.amazonaws.com e escolha Próxima etapa.

  3. Verifique se as informações do provedor estão corretas e escolha Create (Criar) para criar seu provedor de identidade.