**Unterstützung für die Verbesserung dieser Seite beitragen**
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Rolle für Cluster von Amazon EKS Auto Mode
Für jeden Cluster ist eine IAM-Rolle für Amazon-EKS-Cluster erforderlich. Von Amazon EKS verwaltete Kubernetes-Cluster nutzen diese Rolle, um Routineaufgaben für Speicher, Netzwerk und automatische Skalierung von Rechenleistung zu automatisieren.
Bevor Sie Amazon-EKS-Cluster erstellen können, müssen Sie eine IAM-Rolle mit den für EKS Auto Mode erforderlichen Richtlinien erstellen. Sie können entweder die vorgeschlagenen AWS IAM-verwalteten Richtlinien anhängen oder benutzerdefinierte Richtlinien mit entsprechenden Berechtigungen erstellen.
+ [EKSComputeAmazon-Richtlinie](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSComputePolicy)
+ [AmazonEKSBlockStoragePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSBlockStoragePolicy)
+ [AmazonEKSLoadBalancingPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)
+ [EKSNetworkingAmazon-Richtlinie](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSNetworkingPolicy)
+ [EKSClusterAmazon-Richtlinie](security-iam-awsmanpol.md#security-iam-awsmanpol-amazoneksclusterpolicy)
## Benutzerdefinierte AWS Tags für EKS Auto-Ressourcen
Standardmäßig erlauben die verwalteten Richtlinien im Zusammenhang mit dem automatischen Modus von EKS nicht das Anwenden von benutzerdefinierten Tags auf im automatischen Modus bereitgestellte AWS Ressourcen. Wenn Sie benutzerdefinierte Tags auf AWS Ressourcen anwenden möchten, müssen Sie der Cluster-IAM-Rolle zusätzliche Berechtigungen zuweisen, die über ausreichende Berechtigungen verfügen, um Tags auf AWS Ressourcen zu erstellen und zu ändern. Nachfolgend finden Sie ein Beispiel für eine Richtlinie, die uneingeschränkten Zugriff auf Tags gewährt:
### Beispiel für eine benutzerdefinierte Tag-Richtlinie anzeigen
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Compute",
"Effect": "Allow",
"Action": [
"ec2:CreateFleet",
"ec2:RunInstances",
"ec2:CreateLaunchTemplate"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
},
"StringLike": {
"aws:RequestTag/eks:kubernetes-node-class-name": "*",
"aws:RequestTag/eks:kubernetes-node-pool-name": "*"
}
}
},
{
"Sid": "Storage",
"Effect": "Allow",
"Action": [
"ec2:CreateVolume",
"ec2:CreateSnapshot"
],
"Resource": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:ec2:*:*:snapshot/*"
],
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "Networking",
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
},
"StringLike": {
"aws:RequestTag/eks:kubernetes-cni-node-name": "*"
}
}
},
{
"Sid": "LoadBalancer",
"Effect": "Allow",
"Action": [
"elasticloadbalancing:CreateLoadBalancer",
"elasticloadbalancing:CreateTargetGroup",
"elasticloadbalancing:CreateListener",
"elasticloadbalancing:CreateRule",
"ec2:CreateSecurityGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "ShieldProtection",
"Effect": "Allow",
"Action": [
"shield:CreateProtection"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
},
{
"Sid": "ShieldTagResource",
"Effect": "Allow",
"Action": [
"shield:TagResource"
],
"Resource": "arn:aws:shield::*:protection/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/eks:eks-cluster-name": "${aws:PrincipalTag/eks:eks-cluster-name}"
}
}
}
]
}
```
## Überprüfen, ob eine Clusterrolle vorhanden ist
Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Clusterrolle verfügt.
1. Öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Suchen Sie in der Liste der Rollen nach `AmazonEKSAutoClusterRole`. Wenn eine Rolle, die `AmazonEKSAutoClusterRole` enthält, nicht vorhanden ist, befolgen Sie die Anweisungen im nächsten Abschnitt, um die Rolle zu erstellen. Wenn eine Rolle mit `AmazonEKSAutoClusterRole` vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.
1. Wählen Sie **Berechtigungen**.
1. Stellen Sie sicher, dass die von **Amazon EKSCluster Policy** verwaltete Richtlinie der Rolle zugeordnet ist. Wenn die Richtlinie angefügt ist, ist Ihre Amazon-EKS-Clusterrolle korrekt konfiguriert.
1. Wählen Sie **Vertrauensstellungen** und dann **Vertrauensrichtlinie bearbeiten** aus.
1. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie **Abbrechen** aus. Andernfalls kopieren Sie die Richtlinie in das Fenster **Vertrauensrichtlinie bearbeiten** und wählen Sie **Richtlinie aktualisieren** aus.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
**Anmerkung**
AWS benötigt den Namen `AmazonEKSAutoClusterRole` für diese Rolle nicht.
## Erstellen der Amazon-EKS-Cluster-Rolle
Sie können die AWS-Managementkonsole oder die AWS CLI verwenden, um die Clusterrolle zu erstellen.
### AWS-Managementkonsole
1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
1. Wählen Sie **Roles (Rollen)** und anschließend **Create Role (Rolle erstellen)** aus.
1. Wählen Sie unter **Vertrauenswürdiger Entitätstyp** die Option ** AWS Dienst** aus.
1. Wählen Sie aus der Dropdownliste **Anwendungsfälle für andere AWS Dienste** die Option **EKS** aus.
1. Wählen Sie **EKS – Cluster** für Ihren Anwendungsfall und dann **Weiter** aus.
1. Wählen Sie auf der Registerkarte **Berechtigungen hinzufügen** die Richtlinien aus und klicken Sie dann auf **Weiter**.
+ [EKSComputeAmazon-Richtlinie](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSComputePolicy)
+ [AmazonEKSBlockStoragePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSBlockStoragePolicy)
+ [AmazonEKSLoadBalancingPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)
+ [EKSNetworkingAmazon-Richtlinie](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSNetworkingPolicy)
+ [EKSClusterAmazon-Richtlinie](security-iam-awsmanpol.md#security-iam-awsmanpol-amazoneksclusterpolicy)
1. Geben Sie unter **Rollenname** einen eindeutigen Namen für die Rolle ein, z. B. `AmazonEKSAutoClusterRole`.
1. Geben Sie unter **Beschreibung** einen beschreibenden Text, wie z. B. `Amazon EKS - Cluster role`, ein.
1. Wählen Sie **Rolle erstellen** aus.
### AWS CLI
1. Kopieren Sie den folgenden Inhalt in eine Datei namens {{cluster-trust-policy.json}}.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
]
}
]
}
```
1. Erstellen Sie die -Rolle. Sie können {{AmazonEKSAutoClusterRole}} mit einem beliebigen Namen ersetzen, den Sie wählen.
```
aws iam create-role \
--role-name AmazonEKSAutoClusterRole \
--assume-role-policy-document file://"cluster-trust-policy.json"
```
1. Fügen Sie der Rolle die erforderlichen IAM-Richtlinien an:
**EKSClusterAmazon-Richtlinie**:
```
aws iam attach-role-policy \
--role-name AmazonEKSAutoClusterRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy
```
**EKSComputeAmazon-Richtlinie**:
```
aws iam attach-role-policy \
--role-name AmazonEKSAutoClusterRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSComputePolicy
```
**Amazon EKSBlock StoragePolicy**:
```
aws iam attach-role-policy \
--role-name AmazonEKSAutoClusterRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSBlockStoragePolicy
```
**Amazon EKSLoad BalancingPolicy**:
```
aws iam attach-role-policy \
--role-name AmazonEKSAutoClusterRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSLoadBalancingPolicy
```
**EKSNetworkingAmazon-Richtlinie**:
```
aws iam attach-role-policy \
--role-name AmazonEKSAutoClusterRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSNetworkingPolicy
```