**Aidez à améliorer cette page** 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien **Modifier cette page sur** qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Mise à jour des contrôles d’organisation pour le mode automatique EKS
<a name="auto-controls"></a>

Certains contrôles organisationnels peuvent empêcher le mode automatique EKS de fonctionner correctement. Dans ce cas, vous devez mettre à jour ces contrôles afin de permettre au mode automatique EKS de disposer des autorisations nécessaires pour gérer les instances EC2 en votre nom.

Le mode automatique EKS utilise un rôle de service pour lancer les instances EC2 qui constituent les nœuds du mode automatique EKS. Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) créé dans votre compte, qu’un service peut assumer afin d’effectuer des actions en votre nom. Les [politiques de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) s’appliquent toujours aux actions réalisées via des rôles de service. Ainsi, une SCP peut bloquer certaines opérations du mode automatique EKS. Le cas le plus courant survient lorsqu’une SCP restreint les images Amazon Machine Image (AMI) pouvant être lancées. Pour permettre au mode automatique EKS de fonctionner, modifiez la SCP afin d’autoriser le lancement des AMI provenant des comptes en mode automatique EKS.

Vous pouvez également utiliser la fonctionnalité [EC2 Allowed AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) afin de limiter la visibilité des AMI provenant d’autres comptes. Si vous utilisez cette fonctionnalité, vous devez élargir les critères d’images afin d’inclure également les comptes d’AMI en mode automatique EKS dans les régions concernées.

## Exemple de SCP autorisant uniquement les AMI en mode automatique EKS
<a name="_example_scp_to_block_all_amis_except_for_eks_auto_mode_amis"></a>

L’exemple ci-dessous empêche l’appel de `ec2:RunInstances` sauf si l’AMI appartient au compte d’AMI en mode automatique EKS pour us-west-2 ou us-east-1.

**Note**  
Il est important de **ne pas** utiliser la clé de contexte `ec2:Owner`. Amazon est propriétaire des comptes AMI en mode automatique EKS et la valeur de cette clé sera toujours `amazon`. Construire un SCP qui permet de lancer des AMI si `amazon` cela permet de lancer n'importe quelle AMI appartenant à Amazon, et pas seulement celles du mode automatique EKS. `ec2:Owner`

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}
```

## Comptes AMI en mode automatique EKS
<a name="_eks_auto_mode_ami_accounts"></a>

 AWS les comptes qui varient selon les régions hébergent des AMI publiques en mode automatique EKS.


|  |  | 
| --- |--- |
|  AWS Région | Compte | 
| af-south-1 | 471112993317 | 
| ap-east-1 | 590183728416 | 
| ap-east-2 | 381492200852 | 
| ap-northeast-1 | 851725346105 | 
| ap-northeast-2 | 992382805010 | 
| ap-northeast-3 | 891377407544 | 
| ap-south-1 | 975049899075 | 
| ap-south-2 | 590183737426 | 
| ap-southeast-1 | 339712723301 | 
| ap-southeast-2 | 058264376476 | 
| ap-southeast-3 | 471112941769 | 
| ap-southeast-4 | 590183863144 | 
| ap-southeast-5 | 654654202513 | 
| ap-southeast-6 | 905418310314 | 
| ap-southeast-7 | 533267217478 | 
| ca-central-1 | 992382439851 | 
| ca-west-1 | 767397959864 | 
| eu-central-1 | 891376953411 | 
| eu-central-2 | 381492036002 | 
| eu-north-1 | 339712696471 | 
| eu-south-1 | 975049955519 | 
| eu-south-2 | 471112620929 | 
| eu-west-1 | 381492008532 | 
| eu-west-2 | 590184142468 | 
| eu-west-3 | 891376969258 | 
| il-central-1 | 590183797093 | 
| me-central-1 | 637423494195 | 
| me-south-1 | 905418070398 | 
| mx-central-1 | 211125506622 | 
| sa-east-1 | 339712709251 | 
| us-east-1 | 992382739861 | 
| us-east-2 | 975050179949 | 
| us-west-1 | 975050035094 | 
| us-west-2 | 767397842682 | 
| us-gov-east-1 | 446077414359 | 
| us-gov-west-1 | 446098668741 | 

## Association d’une adresse IP publique
<a name="_associate_public_ip_address"></a>

Lorsque l’appel `ec2:RunInstances` est effectué, la valeur du champ `AssociatePublicIpAddress` lors du lancement d’une instance est déterminée automatiquement en fonction du type de sous-réseau dans lequel l’instance est lancée. Une SCP peut être utilisée pour imposer que cette valeur soit explicitement définie sur « false », quel que soit le sous-réseau utilisé pour le lancement. Dans ce cas, le NodeClass champ `spec.advancedNetworking.associatePublicIPAddress` peut également être défini sur false pour satisfaire aux exigences du SCP.

```
  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }
```