Amazon-EKS-Konnektor-IAM-Rolle - Amazon EKS
Überprüfen auf eine vorhandene EKS-Connector-RolleErstellen der Rolle des Amazon-EKS-Connector-Agenten

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Amazon-EKS-Konnektor-IAM-Rolle

Sie können Kubernetes-Cluster verbinden, um sie in Ihrem anzuzeigen. AWS-Managementkonsole Um eine Verbindung zu einem Kubernetes-Cluster herzustellen, erstellen Sie eine IAM-Rolle.

Überprüfen auf eine vorhandene EKS-Connector-Rolle

Mit dem folgenden Verfahren können Sie feststellen, ob Ihr Konto bereits über die Amazon-EKS-Konnektorrolle verfügt.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie im linken Navigationsbereich Roles aus.

  3. Suchen Sie in der Liste der Rollen nach AmazonEKSConnectorAgentRole. Wenn keine Rolle mit AmazonEKSConnectorAgentRole vorhanden ist, informieren Sie sich unter Erstellen der Rolle des Amazon-EKS-Connector-Agenten, wie Sie die Rolle erstellen können. Wenn eine Rolle mit AmazonEKSConnectorAgentRole vorhanden ist, wählen Sie die Rolle aus, um die angefügten Richtlinien anzuzeigen.

  4. Wählen Sie Berechtigungen.

  5. Stellen Sie sicher, dass die von Amazon EKSConnector AgentPolicy verwaltete Richtlinie der Rolle zugeordnet ist. Wenn die Richtlinie angefügt ist, ist Ihre Amazon-EKS-Connector-Rolle ordnungsgemäß konfiguriert.

  6. Wählen Sie Vertrauensstellungen und dann Vertrauensrichtlinie bearbeiten aus.

  7. Überprüfen Sie, dass die Vertrauensstellung die folgende Richtlinie enthält. Wenn die Vertrauensstellung mit der folgenden Richtlinie übereinstimmt, wählen Sie Abbrechen aus. Andernfalls kopieren Sie die Richtlinie in das Fenster Vertrauensrichtlinie bearbeiten und wählen Sie Richtlinie aktualisieren aus.

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Erstellen der Rolle des Amazon-EKS-Connector-Agenten

Sie können das AWS-Managementkonsole oder verwenden AWS CloudFormation , um die Connector-Agent-Rolle zu erstellen.

AWS CLI

  1. Erstellen Sie eine Datei mit dem Namen eks-connector-agent-trust-policy.json, die die folgende JSON enthält, die für die IAM-Rolle verwendet werden soll.

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ssm.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

  2. Erstellen Sie eine Datei mit dem Namen eks-connector-agent-policy.json, die die folgende JSON enthält, die für die IAM-Rolle verwendet werden soll.

    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SsmControlChannel",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateControlChannel"
            ],
            "Resource": "arn:aws:eks:*:*:cluster/*"
        },
        {
            "Sid": "ssmDataplaneOperations",
            "Effect": "Allow",
            "Action": [
                "ssmmessages:CreateDataChannel",
                "ssmmessages:OpenDataChannel",
                "ssmmessages:OpenControlChannel"
            ],
            "Resource": "*"
        }
    ]
}

  3. Erstellen Sie die Agentenrolle von Amazon EKS Connector mithilfe der Vertrauensrichtlinie und Richtlinie, die Sie in den vorherigen Listenelementen erstellt haben.

    aws iam create-role \
     --role-name AmazonEKSConnectorAgentRole \
     --assume-role-policy-document file://eks-connector-agent-trust-policy.json

  4. Hängen Sie die Richtlinie an Ihre Amazon-EKS-Connector-Agentenrolle an.

    aws iam put-role-policy \
     --role-name AmazonEKSConnectorAgentRole \
     --policy-name AmazonEKSConnectorAgentPolicy \
     --policy-document file://eks-connector-agent-policy.json
AWS CloudFormation

  1. Speichern Sie die folgende AWS CloudFormation Vorlage in einer Textdatei auf Ihrem lokalen System.

    Anmerkung

    Diese Vorlage erstellt auch die mit dem Service verknüpfte Rolle, die andernfalls beim Aufruf der registerCluster-API erstellt würde. Details dazu finden Sie unter Verbinden eines Kubernetes-Clusters mithilfe von Rollen mit Amazon EKS.

    ---
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Provisions necessary resources needed to register clusters in EKS'
Parameters: {}
Resources:
  EKSConnectorSLR:
    Type: AWS::IAM::ServiceLinkedRole
    Properties:
      AWSServiceName: eks-connector.amazonaws.com

  EKSConnectorAgentRole:
    Type: AWS::IAM::Role
    Properties:
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Action: [ 'sts:AssumeRole' ]
            Principal:
              Service: 'ssm.amazonaws.com'

  EKSConnectorAgentPolicy:
    Type: AWS::IAM::Policy
    Properties:
      PolicyName: EKSConnectorAgentPolicy
      Roles:
        - {Ref: 'EKSConnectorAgentRole'}
      PolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: 'Allow'
            Action: [ 'ssmmessages:CreateControlChannel' ]
            Resource:
            - Fn::Sub: 'arn:${AWS::Partition}:eks:*:*:cluster/*'
          - Effect: 'Allow'
            Action: [ 'ssmmessages:CreateDataChannel', 'ssmmessages:OpenDataChannel', 'ssmmessages:OpenControlChannel' ]
            Resource: "*"
Outputs:
  EKSConnectorAgentRoleArn:
    Description: The agent role that EKS connector uses to communicate with AWS services.
    Value: !GetAtt EKSConnectorAgentRole.Arn

  2. Öffnen Sie die AWS CloudFormation -Konsole.

  3. Wählen Sie Stack erstellen mit neuen Ressourcen (Standard).

  4. Wählen Sie für Specify template (Vorlage festlegen) Upload a template file (Vorlagendatei hochladen) aus und wählen Sie dann Choose file (Datei wählen).

  5. Wählen Sie die zuvor erstellte Datei und klicken Sie dann auf Next (Weiter).

  6. Geben Sie für Stack name (Stack-Name) einen Namen für Ihre Rolle ein, wie z. B. eksConnectorAgentRole. Klicken Sie dann auf Next (Weiter).

  7. Wählen Sie auf der Seite Configure stack options (Stack-Optionen konfigurieren) Next (Weiter) aus.

  8. Überprüfen Sie auf der Seite Überprüfen Ihre Informationen, bestätigen Sie, dass der Stack IAM-Ressourcen erstellen kann, und wählen Sie dann Erstellen aus.