Rôle IAM d’exécution de pod Amazon EKS - Amazon EKS
Vérifiez si un rôle d’exécution de pod existant est correctement configuréCréation du rôle d’exécution de pod Amazon EKS

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle IAM d’exécution de pod Amazon EKS

Le rôle d'exécution Amazon EKS Pod est requis pour exécuter des pods sur l'infrastructure AWS Fargate.

Lorsque votre cluster crée des pods sur l'infrastructure AWS Fargate, les composants exécutés sur l'infrastructure Fargate doivent effectuer des appels en votre nom. AWS APIs Cela leur permet d'effectuer des actions telles que l'extraction d'images de conteneurs depuis Amazon ECR ou le routage des journaux vers d'autres AWS services. Pour ce faire, le rôle d’exécution de pod Amazon EKS fournit les autorisations IAM.

Lorsque vous créez un profil Fargate, vous devez spécifier un rôle d’exécution de pod pour les composants Amazon EKS qui s’exécutent sur l’infrastructure Fargate à l’aide du profil. Ce rôle est ajouté au Contrôle d’accès basé sur les rôles (RBAC) Kubernetes du cluster à des fins d’autorisation. Cela permet au kubelet qui s’exécute sur l’infrastructure Fargate de s’enregistrer auprès de votre cluster Amazon EKS afin qu’il puisse apparaître dans votre cluster en tant que nœud.

Note

Le profil Fargate doit avoir un rôle IAM différent de celui EC2 des groupes de nœuds Amazon.

Important

Les conteneurs s’exécutant dans le pod Fargate ne peuvent pas assumer les autorisations IAM associées à un rôle d’exécution de pod. Pour autoriser les conteneurs de votre Fargate Pod à accéder à d' AWS autres services, vous devez utiliser des rôles IAM pour les comptes de service.

Avant de créer un profil Fargate, vous devez créer un rôle IAM auprès d'Amazon. EKSFargate PodExecutionRolePolicy

Vérifiez si un rôle d’exécution de pod existant est correctement configuré

Vous pouvez suivre la procédure suivante pour vérifier si votre compte dispose déjà d’un rôle d’exécution de pod Amazon EKS correctement configuré. Afin d’éviter tout problème de sécurité lié à un délégué confus, il est important que le rôle restreigne l’accès en fonction de SourceArn. Vous pouvez modifier le rôle d'exécution si nécessaire pour inclure la prise en charge des profils Fargate sur d'autres clusters.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de gauche, choisissez Rôles.

  3. Sur la page Rôles, recherchez la liste des rôles pour Amazon EKSFargate PodExecutionRole. Si le rôle n’existe pas, consultez Création du rôle d’exécution de pod Amazon EKS pour créer le rôle. Si le rôle existe, sélectionnez-le.

  4. Sur la EKSFargate PodExecutionRole page Amazon, procédez comme suit :

    1. Choisissez Autorisations.

    2. Assurez-vous que la politique gérée par EKSFargatePodExecutionRolePolicyAmazon est attachée au rôle.

    3. Choisissez Trust Relationships (Relations d'approbation).

    4. Choisissez Edit trust policy (Modifier la politique).

  5. Dans la page Edit trust policy (Modifier la politique), vérifiez que la relation d'approbation contient la politique suivante, ainsi qu'une ligne pour les profils Fargate sur votre cluster. Dans ce cas, sélectionnez Cancel (Annuler).

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Si la politique correspond mais ne comporte pas de ligne spécifiant les profils Fargate sur votre cluster, vous pouvez ajouter la ligne suivante en haut de l’objet ArnLike. Remplacez region-code par la AWS région dans laquelle se trouve votre cluster, 111122223333 par votre identifiant de compte et my-cluster par le nom de votre cluster.

    "aws:SourceArn": "arn:aws: eks:region-code:111122223333:fargateprofile/my-cluster/*",

    Si la politique ne correspond pas, copiez l’intégralité de la politique précédente dans le formulaire et sélectionnez Mettre à jour la politique. Remplacez region-code par la AWS région dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle dans toutes les AWS régions de votre compte, remplacez region-code par*. Remplacez 111122223333 par l'ID de votre compte et my-cluster par le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacez my-cluster par *.

Création du rôle d’exécution de pod Amazon EKS

Si vous ne possédez pas encore le rôle d'exécution Amazon EKS Pod pour votre cluster, vous pouvez utiliser la AWS Management Console ou la AWS CLI pour le créer.

AWS Management Console

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de gauche, choisissez Rôles.

  3. Sur la page Rôles, choisissez Créer un rôle.

  4. Sur la page Select trusted entity (Sélectionner une entité de confiance), procédez comme suit :

    1. Dans la section Type d'entité fiable, sélectionnez AWS service.

    2. Dans la liste déroulante Cas d'utilisation d'autres AWS services, sélectionnez EKS.

    3. Sélectionnez EKS – Fargate Pod.

    4. Choisissez Suivant.

  5. Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).

  6. Sur la page Name, review, and create (Nommer, vérifier et créer), procédez comme suit :

    1. Pour Role name (Nom de rôle), saisissez un nom unique pour votre rôle, par exemple, AmazonEKSFargatePodExecutionRole.

    2. Sous Ajouter des balises (Facultatif), ajoutez des métadonnées au rôle en attachant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la rubrique Balisage des ressources IAM dans le Guide de l'utilisateur IAM.

    3. Choisissez Créer un rôle.

  7. Sur la page Rôles, recherchez la liste des rôles pour Amazon EKSFargate PodExecutionRole. Choisissez le rôle.

  8. Sur la EKSFargate PodExecutionRole page Amazon, procédez comme suit :

    1. Choisissez Trust Relationships (Relations d'approbation).

    2. Choisissez Edit trust policy (Modifier la politique).

  9. Dans la page Edit trust policy (Modifier la politique), procédez comme suit :

    1. Copiez le contenu suivant et collez-le dans le formulaire Edit trust policy (Modifier la politique). Remplacez region-code par la AWS région dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle dans toutes les AWS régions de votre compte, remplacez region-code par*. Remplacez 111122223333 par l'ID de votre compte et my-cluster par le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacez my-cluster par *.

      {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    2. Choisissez Mettre à jour une politique.

AWS CLI

  1. Copiez le contenu suivant et collez-le dans un fichier nommé pod-execution-role-trust-policy.json. Remplacez region-code par la AWS région dans laquelle se trouve votre cluster. Si vous souhaitez utiliser le même rôle dans toutes les AWS régions de votre compte, remplacez region-code par*. Remplacez 111122223333 par l'ID de votre compte et my-cluster par le nom de votre cluster. Si vous souhaitez utiliser le même rôle pour tous les clusters de votre compte, remplacez my-cluster par *.

    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Condition": {
         "ArnLike": {
            "aws:SourceArn": "arn:aws:eks:us-east-1:111122223333:fargateprofile/my-cluster/*"
         }
      },
      "Principal": {
        "Service": "eks-fargate-pods.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Créez un rôle IAM d’exécution de pod.

    aws iam create-role \
  --role-name AmazonEKSFargatePodExecutionRole \
  --assume-role-policy-document file://"pod-execution-role-trust-policy.json"

  3. Attachez la politique IAM gérée par Amazon EKS au rôle.

    aws iam attach-role-policy \
  --policy-arn arn:aws: iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \
  --role-name AmazonEKSFargatePodExecutionRole