**Unterstützung für die Verbesserung dieser Seite beitragen**
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Vorbereitung der Anmeldeinformationen für Hybridknoten
Amazon EKS-Hybridknoten verwenden temporäre IAM-Anmeldeinformationen, die durch AWS SSM-Hybrid-Aktivierungen oder AWS IAM Roles Anywhere bereitgestellt werden, um sich beim Amazon EKS-Cluster zu authentifizieren. Sie müssen entweder AWS SSM-Hybrid-Aktivierungen oder AWS IAM Roles Anywhere mit der Amazon EKS Hybrid Nodes CLI () verwenden. `nodeadm` Sie sollten nicht sowohl AWS SSM-Hybrid-Aktivierungen als auch IAM-Rollen Anywhere verwenden. AWS Wir empfehlen, AWS SSM-Hybrid-Aktivierungen zu verwenden, wenn Sie nicht über eine bestehende Public Key-Infrastruktur (PKI) mit einer Zertifizierungsstelle (CA) und Zertifikaten für Ihre lokalen Umgebungen verfügen. Wenn Sie bereits über PKI und Zertifikate vor Ort verfügen, verwenden Sie IAM Roles Anywhere. AWS
## IAM-Rolle für Hybridknoten
Bevor Sie Hybridknoten mit Ihrem Amazon EKS-Cluster verbinden können, müssen Sie eine IAM-Rolle erstellen, die mit AWS SSM-Hybrid-Aktivierungen oder AWS IAM Roles Anywhere für Ihre Hybridknoten-Anmeldeinformationen verwendet wird. Nach der Clustererstellung verwenden Sie diese Rolle mit einem Amazon EKS-Zugriffseintrag oder `aws-auth` ConfigMap einem Eintrag, um die IAM-Rolle Kubernetes Role-Based Access Control (RBAC) zuzuordnen. Weitere Informationen zum Verknüpfen der IAM-Rolle für Hybridknoten mit Kubernetes RBAC finden Sie unter [Vorbereitung des Cluster-Zugriffs für Hybridknoten](hybrid-nodes-cluster-prep.md).
Die IAM-Rolle für Hybridknoten muss auch über die folgenden Berechtigungen verfügen.
+ Berechtigungen für die Verwendung der `eks:DescribeCluster` Aktion `nodeadm` zum Sammeln von Informationen über den Cluster, mit dem Sie Hybridknoten verbinden möchten. Wenn Sie die `eks:DescribeCluster` Aktion nicht aktivieren, müssen Sie Ihren Kubernetes-API-Endpunkt, das Cluster-CA-Bundle und den IPv4 Service-CIDR in der Knotenkonfiguration übergeben, die Sie an den Befehl übergeben. `nodeadm init`
+ Berechtigungen für `nodeadm` die Verwendung der `eks:ListAccessEntries` Aktion zum Auflisten der Zugriffseinträge auf dem Cluster, mit dem Sie Hybridknoten verbinden möchten. Wenn Sie die `eks:ListAccessEntries` Aktion nicht aktivieren, müssen Sie das `--skip cluster-access-validation` Flag übergeben, wenn Sie den `nodeadm init` Befehl ausführen.
+ [Berechtigungen für das Kubelet zur Verwendung von Container-Images aus Amazon Elastic Container Registry (Amazon ECR), wie in der Amazon-Richtlinie definiert. EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)
+ Bei Verwendung von AWS SSM: Berechtigungen für `nodeadm init` die Verwendung von AWS SSM-Hybrid-Aktivierungen, wie in der Richtlinie definiert. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)
+ Bei Verwendung von AWS SSM: Berechtigungen zur Verwendung der `ssm:DeregisterManagedInstance` Aktion und `ssm:DescribeInstanceInformation` Aktion für `nodeadm uninstall` zum Abmelden von Instanzen.
+ (Optional) Berechtigungen für den Amazon EKS Pod Identity Agent zum Verwenden der Aktion `eks-auth:AssumeRoleForPodIdentity`, um Anmeldeinformationen für Pods abzurufen.
## Richten Sie SSM-Hybrid-Aktivierungen AWS ein
Bevor Sie AWS SSM-Hybrid-Aktivierungen einrichten, müssen Sie eine IAM-Rolle für Hybrid Nodes erstellt und konfiguriert haben. Weitere Informationen finden Sie unter [Erstellung der IAM-Rolle für Hybridknoten](#hybrid-nodes-create-role). Folgen Sie den Anweisungen unter [Hybrid-Aktivierung erstellen, um Knoten bei Systems Manager zu registrieren im AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) Manager-Benutzerhandbuch, um eine AWS SSM-Hybrid-Aktivierung für Ihre Hybridknoten zu erstellen. Der Aktivierungscode und die ID, die Sie erhalten, werden mit `nodeadm` verwendet, wenn Sie Ihre Hosts als Hybridknoten bei Ihrem Amazon-EKS-Cluster registrieren. Sie können zu einem späteren Zeitpunkt auf diesen Schritt zurückkommen, nachdem Sie Ihre Amazon-EKS-Cluster für Hybridknoten erstellt und vorbereitet haben.
**Wichtig**
Systems Manager übergibt den Aktivierungscode und die ID sofort an die Konsole oder das Befehlsfenster, je nachdem, wie Sie die Aktivierung erstellt haben. Kopieren Sie diese Informationen und speichern Sie sie an einem sicheren Ort. Wenn Sie die Konsole verlassen oder das Befehlsfenster schließen, können diese Informationen verloren gehen. Wenn Sie die Informationen verlieren, müssen Sie eine neue Aktivierung erstellen.
Standardmäßig sind AWS SSM-Hybrid-Aktivierungen 24 Stunden lang aktiv. Alternativ können Sie beim Erstellen Ihrer Hybridaktivierung ein `--expiration-date` im Zeitstempelformat angeben, beispielsweise `2024-08-01T00:00:00`. Wenn Sie AWS SSM als Ihren Anmeldeinformationsanbieter verwenden, ist der Knotenname für Ihre Hybridknoten nicht konfigurierbar und wird automatisch von SSM generiert. AWS Sie können die von AWS SSM verwalteten Instanzen in der AWS Systems Manager-Konsole unter Fleet Manager anzeigen und verwalten. Sie können bis zu 1.000 standardmäßige, [hybridaktivierte Knoten](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) pro Konto und AWS Region ohne zusätzliche Kosten registrieren. Um mehr als 1 000 Hybrid-Knoten zu registrieren, müssen Sie jedoch das Advanced-Instances-Kontingent aktivieren. Für die Nutzung der Stufe „Erweiterte Instances“ wird eine Gebühr erhoben, die nicht in den Preisen für [Amazon EKS Hybrid Nodes pricing](https://aws.amazon.com/eks/pricing/) enthalten ist. Weitere Informationen finden Sie unter [Preise für AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
Im folgenden Beispiel erfahren Sie, wie Sie eine AWS SSM-Hybrid-Aktivierung mit Ihrer IAM-Rolle Hybrid Nodes erstellen. Wenn Sie AWS SSM-Hybrid-Aktivierungen für Ihre Hybridknoten-Anmeldeinformationen verwenden, haben die Namen Ihrer Hybridknoten das gleiche Format `mi-012345678abcdefgh` und die von AWS SSM bereitgestellten temporären Anmeldeinformationen sind 1 Stunde lang gültig. Sie können den Knotennamen oder die Dauer der Anmeldeinformationen nicht ändern, wenn Sie AWS SSM als Ihren Anmeldeinformationsanbieter verwenden. Die temporären Anmeldeinformationen werden von AWS SSM automatisch rotiert, und die Rotation hat keine Auswirkungen auf den Status Ihrer Knoten oder Anwendungen.
Wir empfehlen, dass Sie eine AWS SSM-Hybrid-Aktivierung pro EKS-Cluster verwenden, um die AWS `ssm:DeregisterManagedInstance` SSM-Berechtigungen der IAM-Rolle Hybrid Nodes so festzulegen, dass nur Instances abgemeldet werden können, die mit Ihrer SSM-Hybrid-Aktivierung verknüpft sind. AWS In dem Beispiel auf dieser Seite wird ein Tag mit dem EKS-Cluster-ARN verwendet, das verwendet werden kann, um Ihre AWS SSM-Hybridaktivierung dem EKS-Cluster zuzuordnen. Sie können alternativ Ihr bevorzugtes Tag und Ihre bevorzugte Methode verwenden, um den Umfang der AWS SSM-Berechtigungen auf der Grundlage Ihrer Berechtigungsgrenzen und Anforderungen festzulegen. Die `REGISTRATION_LIMIT` Option im folgenden Befehl ist eine Ganzzahl, die verwendet wird, um die Anzahl der Maschinen zu begrenzen, die die AWS SSM-Hybridaktivierung verwenden können (zum Beispiel) `10`
```
aws ssm create-activation \
--region AWS_REGION \
--default-instance-name eks-hybrid-nodes \
--description "Activation for EKS hybrid nodes" \
--iam-role AmazonEKSHybridNodesRole \
--tags Key=EKSClusterARN,Value=arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
--registration-limit REGISTRATION_LIMIT
```
Weitere Informationen [zu den verfügbaren Konfigurationseinstellungen für AWS SSM-Hybrid-Aktivierungen finden Sie in den Anweisungen unter Hybrid-Aktivierung erstellen, um Knoten bei Systems Manager zu registrieren](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html).
## Richten Sie AWS IAM-Rollen überall ein
Befolgen Sie die Anweisungen unter [Erste Schritte mit IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html) im Benutzerhandbuch zu IAM Roles Anywhere, um den Trust Anchor und das Profil einzurichten, die Sie für temporäre IAM-Anmeldeinformationen für Ihre IAM-Rolle für Hybridknoten verwenden werden. Wenn Sie Ihr Profil erstellen, können Sie dies ohne Hinzufügen von Rollen tun. Sie können dieses Profil erstellen, zu diesen Schritten zurückkehren, um Ihre IAM-Rolle für Hybridknoten zu erstellen, und dann Ihre Rolle nach der Erstellung zu Ihrem Profil hinzufügen. Sie können auch die AWS CloudFormation Schritte weiter unten auf dieser Seite verwenden, um Ihr IAM Roles Anywhere-Setup für Hybridknoten abzuschließen.
Wenn Sie Ihrem Profil die IAM-Rolle Hybrid Nodes hinzufügen, wählen Sie im Bereich **Sitzungsname für benutzerdefinierte Rolle unten auf der Seite **Profil bearbeiten** in der AWS IAM Roles Anywhere-Konsole die Option Sitzungsname der **benutzerdefinierten Rolle** akzeptieren** aus. Dies entspricht dem Feld „[acceptRoleSessionName](https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html#rolesanywhere-CreateProfile-request-acceptRoleSessionName)“ der `CreateProfile` API. Auf diese Weise können Sie in der Konfiguration, die Sie während des Bootstrap-Prozesses an `nodeadm` übergeben, einen benutzerdefinierten Knotennamen für Ihre Hybridknoten angeben. Die Übergabe eines benutzerdefinierten Knotennamens während des `nodeadm init`-Prozesses ist erforderlich. Sie können Ihr Profil aktualisieren, um einen benutzerdefinierten Rollensitzungsnamen zu akzeptieren, nachdem Sie Ihr Profil erstellt haben.
Sie können die Gültigkeitsdauer der Anmeldeinformationen mit AWS IAM Roles Anywhere über das Feld [DurationSeconds](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/authentication-create-session#credentials-object) Ihres AWS IAM Roles Anywhere-Profils konfigurieren. Die Standarddauer beträgt 1 Stunde, maximal 12 Stunden. Die `MaxSessionDuration` Einstellung in Ihrer IAM-Rolle für Hybrid Nodes muss größer sein als die `durationSeconds` Einstellung in Ihrem IAM Roles Anywhere-Profil. AWS Weitere Informationen dazu finden Sie in der `MaxSessionDuration` [UpdateRole API-Dokumentation](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateRole.html).
Die von Ihrer Zertifizierungsstelle (CA) generierten rechnerspezifischen Zertifikate und Schlüssel müssen in dem `/etc/iam/pki`-Verzeichnis auf jedem Hybridknoten mit den Dateinamen `server.pem` für das Zertifikat und `server.key` für den Schlüssel abgelegt werden.
## Erstellung der IAM-Rolle für Hybridknoten
Um die Schritte in diesem Abschnitt auszuführen, muss der IAM-Principal, der die AWS Konsole oder AWS CLI verwendet, über die folgenden Berechtigungen verfügen.
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:AttachRolePolicy`
+ Wenn Sie AWS IAM Roles Anywhere verwenden
+ `rolesanywhere:CreateTrustAnchor`
+ `rolesanywhere:CreateProfile`
+ `iam:PassRole`
### AWS CloudFormation
Installieren und konfigurieren Sie die AWS CLI, falls Sie dies noch nicht getan haben. Siehe [Installation oder Aktualisierung auf die letzte Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Schritte für AWS SSM-Hybrid-Aktivierungen**
Der CloudFormation Stack erstellt die IAM-Rolle Hybrid Nodes mit den oben beschriebenen Berechtigungen. Die CloudFormation Vorlage erstellt die AWS SSM-Hybrid-Aktivierung nicht.
1. Laden Sie die AWS CloudFormation SSM-Vorlage für Hybridknoten herunter:
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'
```
1. Erstellen Sie einen `cfn-ssm-parameters.json` mit den folgenden Optionen:
1. Ersetzen Sie `ROLE_NAME` durch den Namen Ihrer IAM-Rolle für Hybridknoten. Standardmäßig verwendet `AmazonEKSHybridNodesRole` die CloudFormation Vorlage den Namen der Rolle, die sie erstellt, wenn Sie keinen Namen angeben.
1. `TAG_KEY`Ersetzen Sie es durch den AWS SSM-Ressourcen-Tag-Schlüssel, den Sie bei der Erstellung Ihrer AWS SSM-Hybrid-Aktivierung verwendet haben. Die Kombination aus Tag-Schlüssel und Tag-Wert wird in der Bedingung verwendet, dass nur die IAM-Rolle Hybrid Nodes die Registrierung der mit AWS SSM verwalteten Instanzen, die mit Ihrer SSM-Hybrid-Aktivierung verknüpft sind, aufheben darf. `ssm:DeregisterManagedInstance` AWS In der Vorlage ist der Standardwert CloudFormation . `TAG_KEY` `EKSClusterARN`
1. `TAG_VALUE`Ersetzen Sie es durch den Wert des AWS SSM-Ressourcen-Tags, den Sie bei der Erstellung Ihrer AWS SSM-Hybrid-Aktivierung verwendet haben. Die Kombination aus Tag-Schlüssel und Tag-Wert wird in der Bedingung verwendet, dass nur die IAM-Rolle Hybrid Nodes die Registrierung der mit AWS SSM verwalteten Instanzen, die mit Ihrer SSM-Hybrid-Aktivierung verknüpft sind, aufheben darf. `ssm:DeregisterManagedInstance` AWS Wenn Sie den Standardwert `TAG_KEY` von `EKSClusterARN` verwenden, übergeben Sie Ihren EKS-Cluster-ARN als `TAG_VALUE`. EKS-Cluster haben das Format. ARNs ` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"SSMDeregisterConditionTagKey": "TAG_KEY",
"SSMDeregisterConditionTagValue": "TAG_VALUE"
}
}
```
1. Stellen Sie den CloudFormation Stack bereit. `STACK_NAME`Ersetzen Sie ihn durch Ihren Namen für den CloudFormation Stack.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ssm-cfn.yaml \
--parameter-overrides file://cfn-ssm-parameters.json \
--capabilities CAPABILITY_NAMED_IAM
```
**Schritte für AWS IAM Roles Anywhere**
Der CloudFormation Stack erstellt den AWS IAM Roles Anywhere-Vertrauensanker mit der von Ihnen konfigurierten Zertifizierungsstelle (CA), erstellt das AWS IAM Roles Anywhere-Profil und erstellt die IAM-Rolle Hybrid Nodes mit den zuvor beschriebenen Berechtigungen.
1. So richten Sie eine Zertifizierungsstelle (CA) ein:
1. Um eine AWS private CA-Ressource zu verwenden, öffnen Sie die [AWS Private Certificate](https://console.aws.amazon.com/acm-pca/home) Authority-Konsole. Befolgen Sie die Anweisungen im [Benutzerhandbuch der privaten AWS -Zertifizierungsstelle](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
1. Um eine externe Zertifizierungsstelle zu verwenden, befolgen Sie die Anweisungen der Zertifizierungsstelle. Die Zertifizierungsstelle geben Sie in einem späteren Schritt an.
1. Öffentlich ausgestellte Zertifikate CAs können nicht als Vertrauensanker verwendet werden.
1. Laden Sie die AWS IAM Roles CloudFormation Anywhere-Vorlage für Hybridknoten herunter
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'
```
1. Erstellen Sie einen `cfn-iamra-parameters.json` mit den folgenden Optionen:
1. Ersetzen Sie `ROLE_NAME` durch den Namen Ihrer IAM-Rolle für Hybridknoten. Standardmäßig verwendet `AmazonEKSHybridNodesRole` die CloudFormation Vorlage den Namen der Rolle, die sie erstellt, wenn Sie keinen Namen angeben.
1. Ersetzen Sie `CERT_ATTRIBUTE` durch das rechnerspezifische Zertifikatsattribut, das Ihren Host eindeutig identifiziert. Das von Ihnen verwendete Zertifikatsattribut muss mit dem nodeName übereinstimmen, den Sie für die `nodeadm`-Konfiguration verwenden, wenn Sie Ihrem Cluster Hybridknoten zuordnen. Weitere Informationen hierzu finden Sie unter [`nodeadm`-Referenz für Hybridknoten](hybrid-nodes-nodeadm.md). Standardmäßig verwendet die CloudFormation Vorlage `${aws:PrincipalTag/x509Subject/CN}` as`CERT_ATTRIBUTE`, was dem CN-Feld Ihrer Computerzertifikate entspricht. Alternativ können Sie `$(aws:PrincipalTag/x509SAN/Name/CN}` als `CERT_ATTRIBUTE` übergeben.
1. Ersetzen Sie `CA_CERT_BODY` durch den Zertifikatstext Ihrer Zertifizierungsstelle ohne Zeilenumbrüche. Das `CA_CERT_BODY` müssen im Privacy Enhanced Mail (PEM)-Format vorliegen. Wenn Sie ein CA-Zertifikat im PEM-Format haben, entfernen Sie die Zeilenumbrüche und die Zeilen BEGIN CERTIFICATE und END CERTIFICATE, bevor Sie den CA-Zertifikatstext in Ihre `cfn-iamra-parameters.json`-Datei einfügen.
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
"CABundleCert": "CA_CERT_BODY"
}
}
```
1. Stellen Sie die CloudFormation Vorlage bereit. `STACK_NAME`Ersetzen Sie es durch Ihren Namen für den CloudFormation Stack.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ira-cfn.yaml \
--parameter-overrides file://cfn-iamra-parameters.json
--capabilities CAPABILITY_NAMED_IAM
```
### AWS CLI
Installieren und konfigurieren Sie die AWS CLI, falls Sie dies noch nicht getan haben. Siehe [Installation oder Aktualisierung auf die letzte Version der AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Erstellung einer EKS-Describe-Cluster-Richtlinie**
1. Erstellen Sie eine Datei `eks-describe-cluster-policy.json` mit dem folgenden Inhalt:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": "*"
}
]
}
```
1. Richtlinie mit dem folgenden Befehl erstellen:
```
aws iam create-policy \
--policy-name EKSDescribeClusterPolicy \
--policy-document file://eks-describe-cluster-policy.json
```
**Schritte für AWS SSM-Hybrid-Aktivierungen**
1. Erstellen Sie eine Datei mit dem Namen `eks-hybrid-ssm-policy.json` und dem folgenden Inhalt. Die Richtlinie gewährt die Berechtigung für zwei Aktionen `ssm:DescribeInstanceInformation` und `ssm:DeregisterManagedInstance`. Die Richtlinie beschränkt die `ssm:DeregisterManagedInstance` Zugriffsrechte auf AWS SSM-verwaltete Instanzen, die mit Ihrer AWS SSM-Hybrid-Aktivierung verknüpft sind, auf der Grundlage des Ressourcen-Tags, das Sie in Ihrer Vertrauensrichtlinie angeben.
1. Ersetzen Sie es `AWS_REGION` durch die AWS Region für Ihre AWS SSM-Hybrid-Aktivierung.
1. Ersetzen Sie `AWS_ACCOUNT_ID` durch Ihre AWS Konto-ID.
1. `TAG_KEY`Ersetzen Sie es durch den AWS SSM-Ressourcen-Tag-Schlüssel, den Sie bei der Erstellung Ihrer AWS SSM-Hybrid-Aktivierung verwendet haben. Die Kombination aus Tag-Schlüssel und Tag-Wert wird in der Bedingung verwendet, dass nur die IAM-Rolle Hybrid Nodes die Registrierung der mit AWS SSM verwalteten Instanzen, die mit Ihrer SSM-Hybrid-Aktivierung verknüpft sind, aufheben darf. `ssm:DeregisterManagedInstance` AWS In der Vorlage ist der Standardwert CloudFormation . `TAG_KEY` `EKSClusterARN`
1. `TAG_VALUE`Ersetzen Sie es durch den Wert des AWS SSM-Ressourcen-Tags, den Sie bei der Erstellung Ihrer AWS SSM-Hybrid-Aktivierung verwendet haben. Die Kombination aus Tag-Schlüssel und Tag-Wert wird in der Bedingung verwendet, dass nur die IAM-Rolle Hybrid Nodes die Registrierung der mit AWS SSM verwalteten Instanzen, die mit Ihrer SSM-Hybrid-Aktivierung verknüpft sind, aufheben darf. `ssm:DeregisterManagedInstance` AWS Wenn Sie den Standardwert `TAG_KEY` von `EKSClusterARN` verwenden, übergeben Sie Ihren EKS-Cluster-ARN als `TAG_VALUE`. EKS-Cluster haben das Format. ARNs ` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Richtlinie mit dem folgenden Befehl erstellen
```
aws iam create-policy \
--policy-name EKSHybridSSMPolicy \
--policy-document file://eks-hybrid-ssm-policy.json
```
1. Erstellen Sie eine Datei namens `eks-hybrid-ssm-trust.json`. `AWS_REGION`Ersetzen Sie es durch die AWS Region Ihrer AWS SSM-Hybrid-Aktivierung und `AWS_ACCOUNT_ID` durch Ihre AWS Konto-ID.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Erstellen Sie die Rolle mit dem folgenden Befehl.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-ssm-trust.json
```
1. Fügen Sie `EKSDescribeClusterPolicy` und `EKSHybridSSMPolicy` an, die Sie in den vorherigen Schritten erstellt haben. Ersetzen Sie es `AWS_ACCOUNT_ID` durch Ihre AWS Konto-ID.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy
```
1. Hängen Sie die `AmazonEC2ContainerRegistryPullOnly` und die `AmazonSSMManagedInstanceCore` AWS verwalteten Richtlinien an.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Schritte für AWS IAM Roles Anywhere**
Um AWS IAM Roles Anywhere verwenden zu können, müssen Sie Ihren AWS IAM Roles Anywhere-Vertrauensanker einrichten, bevor Sie die IAM-Rolle Hybrid Nodes erstellen. Detaillierte Anweisungen finden Sie unter [Richten Sie AWS IAM-Rollen überall ein](#hybrid-nodes-iam-roles-anywhere).
1. Erstellen Sie eine Datei namens `eks-hybrid-iamra-trust.json`. Ersetzen Sie `TRUST_ANCHOR ARN` durch die ARN des Trust Anchors, den Sie in den [Richten Sie AWS IAM-Rollen überall ein](#hybrid-nodes-iam-roles-anywhere)-Schritten erstellt haben. Die Bedingung in dieser Vertrauensrichtlinie schränkt die Fähigkeit von AWS IAM Roles Anywhere ein, die IAM-Rolle Hybrid Nodes zum Austausch temporärer IAM-Anmeldeinformationen nur dann anzunehmen, wenn der Name der Rollensitzung mit der CN im x509-Zertifikat übereinstimmt, das auf Ihren Hybridknoten installiert ist. Alternativ können Sie auch andere Zertifikatsattribute verwenden, um Ihren Knoten eindeutig zu identifizieren. Das Zertifikatattribut, das Sie in der Vertrauensrichtlinie verwenden, muss dem `nodeName` entsprechen, das Sie in Ihrer `nodeadm`-Konfiguration festgelegt haben. Weitere Informationen hierzu finden Sie unter [`nodeadm`-Referenz für Hybridknoten](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Erstellen Sie die Rolle mit dem folgenden Befehl.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-iamra-trust.json
```
1. Fügen Sie die `EKSDescribeClusterPolicy` an, die Sie in den vorherigen Schritten erstellt haben. Ersetzen Sie `AWS_ACCOUNT_ID` es durch Ihre Konto-ID. AWS
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
1. Hängen Sie die `AmazonEC2ContainerRegistryPullOnly` AWS verwaltete Richtlinie an
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
### AWS-Managementkonsole
**Erstellung einer EKS-Describe-Cluster-Richtlinie**
1. [Amazon-IAM-Konsole](https://console.aws.amazon.com/iam/home) öffnen
1. Wählen Sie im linken Navigationsbereich die Option **Policies** aus.
1. Wählen Sie auf der Seite **Richtlinien** die Option **Richtlinie erstellen**.
1. Wählen Sie auf der Seite „Berechtigungen festlegen“ im Bereich „Service auswählen“ die Option „EKS“ aus.
1. Filtern Sie Aktionen nach **DescribeCluster**und wählen Sie die Aktion **DescribeCluster**Lesen aus.
1. Wählen Sie **Weiter** aus.
1. Auf der Seite **Überprüfen und erstellen**
1. Geben Sie einen **Richtlinien-Namen** ein, beispielsweise `EKSDescribeClusterPolicy`.
1. Wählen Sie **Richtlinie erstellen** aus.
**Schritte für AWS SSM-Hybrid-Aktivierungen**
1. [Amazon-IAM-Konsole](https://console.aws.amazon.com/iam/home) öffnen
1. Wählen Sie im linken Navigationsbereich die Option **Policies** aus.
1. Wählen Sie auf der Seite **Richtlinien** die Option **Richtlinie erstellen**.
1. Wählen Sie auf der Seite **Berechtigungen angeben** in der Navigationsleiste oben rechts im **Richtlinien-Editor** die Option **JSON** aus. Fügen Sie den folgenden Ausschnitt ein. `AWS_REGION`Ersetzen Sie es durch die AWS Region Ihrer AWS SSM-Hybrid-Aktivierung und `AWS_ACCOUNT_ID` ersetzen Sie es durch Ihre AWS Konto-ID. Ersetzen Sie `TAG_KEY` und `TAG_VALUE` durch den AWS SSM-Ressourcen-Tag-Schlüssel, den Sie bei der Erstellung Ihrer AWS SSM-Hybrid-Aktivierung verwendet haben.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Wählen Sie **Weiter** aus.
1. Auf der Seite **Überprüfen und erstellen**.
1. Geben Sie einen **Richtlinien-Namen** für Ihre Richtlinie ein, beispielsweise `EKSHybridSSMPolicy`.
1. Wählen Sie **Richtlinie erstellen** aus.
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Klicken Sie auf der Seite **Roles (Rollen)** auf **Create role (Rolle erstellen)**.
1. Gehen Sie auf der Seite **Select trusted entity** (Vertrauenswürdige Entität auswählen) wie folgt vor:
1. Wählen Sie unter Abschnittstyp **Vertrauenswürdiger Entität** die Option **Benutzerdefinierte Vertrauensrichtlinie** aus. Fügen Sie Folgendes in den Editor für benutzerdefinierte Vertrauensrichtlinien ein. `AWS_REGION`Ersetzen Sie es durch die AWS Region Ihrer AWS SSM-Hybrid-Aktivierung und durch Ihre `AWS_ACCOUNT_ID` AWS Konto-ID.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Wählen Sie Weiter aus.
1. Führen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die folgenden Schritte aus:
1. Geben Sie im Feld **Filterrichtlinien** `EKSDescribeClusterPolicy` oder den Namen der oben erstellten Richtlinie ein. Aktivieren Sie in den Suchergebnissen das Kontrollkästchen links neben dem Namen Ihrer Richtlinie.
1. Geben Sie im Feld **Filterrichtlinien** `EKSHybridSSMPolicy` oder den Namen der oben erstellten Richtlinie ein. Aktivieren Sie in den Suchergebnissen das Kontrollkästchen links neben dem Namen Ihrer Richtlinie.
1. Geben Sie im Feld **Filter policies (Filterrichtlinien)** `AmazonEC2ContainerRegistryPullOnly` ein. Aktivieren Sie in den Suchergebnissen das Kontrollkästchen links neben `AmazonEC2ContainerRegistryPullOnly`.
1. Geben Sie im Feld **Filter policies (Filterrichtlinien)** `AmazonSSMManagedInstanceCore` ein. Aktivieren Sie in den Suchergebnissen das Kontrollkästchen links neben `AmazonSSMManagedInstanceCore`.
1. Wählen Sie **Weiter** aus.
1. Gehen Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) wie folgt vor:
1. Geben Sie unter **Role name** (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. `AmazonEKSHybridNodesRole`.
1. Ersetzen Sie unter **Description** (Beschreibung) den aktuellen Text durch beschreibenden Text wie beispielsweise `Amazon EKS - Hybrid Nodes role`.
1. Wählen Sie **Rolle erstellen** aus.
**Schritte für AWS IAM Roles Anywhere**
Um AWS IAM Roles Anywhere verwenden zu können, müssen Sie Ihren AWS IAM Roles Anywhere-Vertrauensanker einrichten, bevor Sie die IAM-Rolle Hybrid Nodes erstellen. Detaillierte Anweisungen finden Sie unter [Richten Sie AWS IAM-Rollen überall ein](#hybrid-nodes-iam-roles-anywhere).
1. [Amazon-IAM-Konsole](https://console.aws.amazon.com/iam/home) öffnen
1. Wählen Sie im linken Navigationsbereich **Roles** aus.
1. Klicken Sie auf der Seite **Roles (Rollen)** auf **Create role (Rolle erstellen)**.
1. Gehen Sie auf der Seite **Select trusted entity** (Vertrauenswürdige Entität auswählen) wie folgt vor:
1. Wählen Sie unter Abschnittstyp **Vertrauenswürdiger Entität** die Option **Benutzerdefinierte Vertrauensrichtlinie** aus. Fügen Sie Folgendes in den Editor für benutzerdefinierte Vertrauensrichtlinien ein. Ersetzen Sie `TRUST_ANCHOR ARN` durch die ARN des Trust Anchors, den Sie in den [Richten Sie AWS IAM-Rollen überall ein](#hybrid-nodes-iam-roles-anywhere)-Schritten erstellt haben. Die Bedingung in dieser Vertrauensrichtlinie schränkt die Fähigkeit von AWS IAM Roles Anywhere ein, die IAM-Rolle Hybrid Nodes zum Austausch temporärer IAM-Anmeldeinformationen nur dann anzunehmen, wenn der Name der Rollensitzung mit der CN im x509-Zertifikat übereinstimmt, das auf Ihren Hybridknoten installiert ist. Alternativ können Sie auch andere Zertifikatsattribute verwenden, um Ihren Knoten eindeutig zu identifizieren. Das Zertifikatattribut, das Sie in der Vertrauensrichtlinie verwenden, muss dem Knotennamen entsprechen, den Sie in Ihrer nodeadm-Konfiguration festgelegt haben. Weitere Informationen hierzu finden Sie unter [`nodeadm`-Referenz für Hybridknoten](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Wählen Sie Weiter aus.
1. Führen Sie auf der Seite **Add permissions** (Berechtigungen hinzufügen) die folgenden Schritte aus:
1. Geben Sie im Feld **Filterrichtlinien** `EKSDescribeClusterPolicy` oder den Namen der oben erstellten Richtlinie ein. Aktivieren Sie in den Suchergebnissen das Kontrollkästchen links neben dem Namen Ihrer Richtlinie.
1. Geben Sie im Feld **Filter policies (Filterrichtlinien)** `AmazonEC2ContainerRegistryPullOnly` ein. Aktivieren Sie in den Suchergebnissen das Kontrollkästchen links neben `AmazonEC2ContainerRegistryPullOnly`.
1. Wählen Sie **Weiter** aus.
1. Gehen Sie auf der Seite **Name, review, and create** (Benennen, überprüfen und erstellen) wie folgt vor:
1. Geben Sie unter **Role name** (Rollenname) einen eindeutigen Namen für die Rolle ein, z. B. `AmazonEKSHybridNodesRole`.
1. Ersetzen Sie unter **Description** (Beschreibung) den aktuellen Text durch beschreibenden Text wie beispielsweise `Amazon EKS - Hybrid Nodes role`.
1. Wählen Sie **Rolle erstellen** aus.