Überprüfen, ob eine Clusterrolle vorhanden ist Erstellen der Amazon-EKS-Cluster-Rolle

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Amazon-EKS-Cluster-IAM-Rolle

Für jeden Cluster ist eine IAM-Rolle für Amazon-EKS-Cluster erforderlich. Von Amazon EKS verwaltete Kubernetes-Cluster verwenden diese Rolle zur Verwaltung von Knoten, und der veraltete Cloud-Anbieter nutzt diese Rolle, um Load Balancer mit Elastic Load Balancing für Services zu erstellen.

Bevor Sie Amazon-EKS-Cluster erstellen können, müssen Sie eine IAM-Rolle mit einer der folgenden IAM-Richtlinien erstellen:

EKSClusterAmazon-Richtlinie

Eine benutzerdefinierten IAM-Richtlinie. Die folgenden Mindestberechtigungen ermöglichen es dem Kubernetes-Cluster, Knoten zu verwalten, erlauben es dem alten Cloud-Anbieter jedoch nicht, Load Balancer mit Elastic Load Balancing zu erstellen. Ihre benutzerdefinierte IAM-Richtlinie muss mindestens folgende Berechtigungen haben:


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstanceTopology",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}

Anmerkung

Vor dem 3. Oktober 2023 war eine EKSClusterAmazon-Richtlinie für die IAM-Rolle für jeden Cluster erforderlich.

Vor dem 16. April 2020 waren EKSServiceAmazon-Richtlinien und EKSClusterAmazon-Richtlinien erforderlich, und der vorgeschlagene Name für die Rolle lauteteeksServiceRole. Mit der AWSServiceRoleForAmazonEKS serviceverknüpften Rolle ist die EKSServiceAmazon-Richtlinienrichtlinie für Cluster, die am oder nach dem 16. April 2020 erstellt wurden, nicht mehr erforderlich.

Überprüfen, ob eine Clusterrolle vorhanden ist

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Clusterrolle verfügt.

Öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
Wählen Sie im linken Navigationsbereich Roles aus.
Suchen Sie in der Liste der Rollen nach eksClusterRole. Wenn keine Rolle mit eksClusterRole vorhanden ist, informieren Sie sich unter Erstellen der Amazon-EKS-Cluster-Rolle, wie Sie die Rolle erstellen können. Wenn eine Rolle mit eksClusterRole vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.
Wählen Sie Berechtigungen.
Stellen Sie sicher, dass die von Amazon EKSCluster Policy verwaltete Richtlinie der Rolle zugeordnet ist. Wenn die Richtlinie angefügt ist, ist Ihre Amazon-EKS-Clusterrolle korrekt konfiguriert.
Wählen Sie Vertrauensstellungen und dann Vertrauensrichtlinie bearbeiten aus.
Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Abbrechen aus. Andernfalls kopieren Sie die Richtlinie in das Fenster Vertrauensrichtlinie bearbeiten und wählen Sie Richtlinie aktualisieren aus.
```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

Erstellen der Amazon-EKS-Cluster-Rolle

Sie können die AWS-Managementkonsole oder die AWS CLI verwenden, um die Clusterrolle zu erstellen.

AWS-Managementkonsole

Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie Roles (Rollen) und anschließend Create Role (Rolle erstellen) aus.
Wählen Sie unter Vertrauenswürdiger Entitätstyp die Option AWS Dienst aus.
Wählen Sie aus der Dropdownliste Anwendungsfälle für andere AWS Dienste die Option EKS aus.
Wählen Sie EKS – Cluster für Ihren Anwendungsfall und dann Weiter aus.
Wählen Sie auf der Registerkarte Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.
Geben Sie unter Role name (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. eksClusterRole.
Geben Sie unter Beschreibung einen beschreibenden Text, wie z. B. Amazon EKS - Cluster role, ein.
Wählen Sie Rolle erstellen aus.

AWS CLI

Kopieren Sie den folgenden Inhalt in eine Datei namens cluster-trust-policy.json.


{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Erstellen Sie die -Rolle. Sie können eksClusterRole mit einem beliebigen Namen ersetzen, den Sie wählen.


aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

Fügen Sie der Rolle die erforderliche IAM-Richtlinie an.


aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Fehlerbehebung

Knoten-IAM-Rolle