**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# IAM role klaster Amazon EKS
Peran IAM klaster Amazon EKS diperlukan untuk setiap cluster. Cluster Kubernetes yang dikelola oleh Amazon EKS menggunakan peran ini untuk mengelola node dan [Cloud Provider lama](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/#legacy-cloud-provider) menggunakan peran ini untuk membuat penyeimbang beban dengan Elastic Load Balancing untuk layanan.
Sebelum Anda dapat membuat klaster Amazon EKS, Anda harus membuat peran IAM dengan salah satu kebijakan IAM berikut:
+ [EKSClusterKebijakan Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html)
+ Kebijakan IAM khusus. Izin minimal yang mengikuti memungkinkan klaster Kubernetes untuk mengelola node, tetapi tidak mengizinkan [Penyedia Cloud lama](https://kubernetes-sigs.github.io/aws-load-balancer-controller/latest/guide/service/annotations/#legacy-cloud-provider) untuk membuat penyeimbang beban dengan Elastic Load Balancing. Kebijakan IAM kustom Anda harus memiliki setidaknya izin berikut:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"ForAnyValue:StringLike": {
"aws:TagKeys": "kubernetes.io/cluster/*"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeInstanceTopology",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
```
**catatan**
Sebelum 3 Oktober 2023, [EKSClusterKebijakan Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html) diperlukan pada peran IAM untuk setiap cluster.
Sebelum 16 April 2020, [EKSServiceKebijakan Amazon dan EKSCluster Kebijakan](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html) [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html) diperlukan dan nama yang disarankan untuk peran tersebut adalah`eksServiceRole`. Dengan peran `AWSServiceRoleForAmazonEKS` terkait layanan, [EKSServicekebijakan Kebijakan Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html) tidak lagi diperlukan untuk klaster yang dibuat pada atau setelah 16 April 2020.
## Periksa apakah peran klaster sudah ada
Anda dapat menggunakan prosedur berikut untuk memeriksa dan melihat apakah akun Anda sudah memiliki peran klaster Amazon EKS.
1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Cari daftar peran untuk `eksClusterRole`. Jika peran yang menyertakan `eksClusterRole` tidak ada, maka lihat [Membuat peran klaster Amazon EKS](#create-service-role) untuk membuat peran tersebut. Jika peran yang mencakup `eksClusterRole` ada, kemudian pilih peran untuk melihat kebijakan terlampir.
1. Pilih **Izin**.
1. Pastikan kebijakan terkelola **EKSClusterKebijakan Amazon** dilampirkan pada peran tersebut. Jika kebijakan terlampir, tandanya peran klaster Amazon EKS Anda dikonfigurasi dengan benar.
1. Pilih **Trust relationship**, lalu pilih **Edit trust policy**.
1. Verifikasi bahwa hubungan kepercayaan berisi kebijakan berikut. Jika hubungan kepercayaan sesuai dengan kebijakan berikut, pilih **Cancel** (Batalkan). Jika hubungan kepercayaan tidak cocok, salin kebijakan ke jendela **Edit kebijakan kepercayaan** dan pilih **Perbarui kebijakan**.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
## Membuat peran klaster Amazon EKS
Anda dapat menggunakan Konsol Manajemen AWS atau AWS CLI untuk membuat peran cluster.
Konsol Manajemen AWS
1. Buka konsol IAM di https://console.aws.amazon.com/iam/.
1. Pilih **Peran**, kemudian **Buat peran**.
1. Di bawah **Jenis entitas tepercaya**, pilih ** AWS layanan**.
1. **Dari daftar dropdown **Use case for other AWS services**, pilih EKS.**
1. Pilih **EKS - Cluster** untuk kasus penggunaan Anda, lalu pilih **Berikutnya**.
1. Pada tab **Tambahkan izin**, pilih **Berikutnya**.
1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`eksClusterRole`.
1. Untuk **Deskripsi**, masukkan teks deskriptif seperti`Amazon EKS - Cluster role`.
1. Pilih **Buat peran**.
AWS CLI
1. Salin isi berikut ke file bernama {{cluster-trust-policy.json}}.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
1. Buat peran. Anda dapat mengganti {{eksClusterRole}} dengan nama apa pun yang Anda pilih.
```
aws iam create-role \
--role-name eksClusterRole \
--assume-role-policy-document file://"cluster-trust-policy.json"
```
1. Lampirkan kebijakan IAM yang diperlukan ke peran tersebut.
```
aws iam attach-role-policy \
--policy-arn arn:aws: iam::aws:policy/AmazonEKSClusterPolicy \
--role-name eksClusterRole
```