Rôle IAM du cluster du mode automatique Amazon EKS - Amazon EKS
Recherche d'un rôle de cluster existantCréation du rôle de cluster Amazon EKS

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Rôle IAM du cluster du mode automatique Amazon EKS

Un rôle IAM du cluster Amazon EKS est requis pour chaque cluster. Les clusters Kubernetes gérés par Amazon EKS utilisent ce rôle pour automatiser les tâches courantes liées au stockage, à la mise en réseau et à l’autoscaling de la puissance de calcul.

Avant de pouvoir créer des clusters Amazon EKS, vous devez créer un rôle IAM avec les politiques nécessaires pour le mode automatique EKS. Vous pouvez soit attacher les politiques gérées AWS IAM recommandées, soit créer des politiques personnalisées avec des autorisations équivalentes.

Recherche d'un rôle de cluster existant

Vous pouvez utiliser la procédure suivante pour vérifier si votre compte possède déjà le rôle de cluster Amazon EKS.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de gauche, choisissez Rôles.

  3. Recherchez dans la liste des rôles AmazonEKSAutoClusterRole. Si aucun rôle contenant AmazonEKSAutoClusterRole n’existe, consultez les instructions dans la section suivante pour créer le rôle. Si un rôle qui inclut AmazonEKSAutoClusterRole existe, sélectionnez le rôle pour afficher les politiques attachées.

  4. Choisissez Permissions (Autorisations).

  5. Assurez-vous que la politique gérée AmazonEKSClusterPolicy est attachée au rôle. Si la politique est attachée, votre rôle de cluster Amazon EKS est configuré correctement.

  6. Sélectionnez l'onglet Trust relationships (Relations d'approbation), puis Edit trust policy (Modifier la relation d'approbation).

  7. Vérifiez que la relation d'approbation contient la politique suivante. Si la relation d'approbation correspond à la politique ci-dessous, sélectionnez Annuler. Si la relation d’approbation ne correspond pas, copiez la politique dans la fenêtre Modifier la politique d’approbation et sélectionnez Mettre à jour la politique.

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
Note

AWS ne nécessite pas le nom AmazonEKSAutoClusterRole pour ce rôle.

Création du rôle de cluster Amazon EKS

Pour créer le rôle de cluster, vous pouvez utiliser la AWS Management Console ou la CLI AWS.

AWS Management Console

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Roles (Rôles) puis Create role (Créer un rôle).

  3. Sous Type d’entité approuvée, choisissez Service AWS.

  4. Dans la liste déroulante Cas d’utilisation pour d’autres services AWS, choisissez EKS.

  5. Sélectionnez EKS - Cluster pour votre cas d'utilisation, puis Next (Suivant).

  6. Dans l’onglet Ajouter des autorisations, sélectionnez les politiques, puis cliquez sur Suivant.

  7. Pour Role name (Nom de rôle), saisissez un nom unique pour votre rôle, par exemple, AmazonEKSAutoClusterRole.

  8. Pour Description, saisissez un texte descriptif tel que Amazon EKS - Cluster role.

  9. Sélectionnez Créer un rôle.

AWS CLI

  1. Copiez le contenu suivant dans un fichier nommé cluster-trust-policy.json.

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}

  2. Créez le rôle. Vous pouvez remplacer AmazonEKSAutoClusterRole par le nom de votre choix.

    aws iam create-role \
  --role-name AmazonEKSAutoClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

  3. Attachez les politiques IAM requises au rôle :

AmazonEKSClusterPolicy :

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy

AmazonEKSComputePolicy :

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSComputePolicy

AmazonEKSBlockStoragePolicy :

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSBlockStoragePolicy

AmazonEKSLoadBalancingPolicy :

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSLoadBalancingPolicy

AmazonEKSNetworkingPolicy :

aws iam attach-role-policy \
    --role-name AmazonEKSAutoClusterRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSNetworkingPolicy