**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Buat kemampuan ACK
<a name="create-ack-capability"></a>

Bab ini menjelaskan cara membuat kemampuan ACK di cluster Amazon EKS Anda.

## Prasyarat
<a name="_prerequisites"></a>

Sebelum membuat kemampuan ACK, pastikan Anda memiliki:
+ Klaster Amazon EKS
+ Peran Kemampuan IAM dengan izin ACK untuk mengelola sumber daya AWS 
+ Izin IAM yang memadai untuk membuat sumber daya kemampuan di kluster EKS
+ Alat CLI yang sesuai diinstal dan dikonfigurasi, atau akses ke Konsol EKS

Untuk petunjuk tentang cara membuat Peran Kemampuan IAM, lihat[Peran IAM kemampuan Amazon EKS](capability-role.md).

**penting**  
ACK adalah kemampuan manajemen infrastruktur yang memberikan kemampuan untuk membuat, memodifikasi, dan menghapus AWS sumber daya. Ini adalah kemampuan lingkup admin yang harus dikontrol dengan hati-hati. Siapa pun yang memiliki izin untuk membuat sumber daya Kubernetes di klaster Anda dapat secara efektif membuat AWS sumber daya melalui ACK, tunduk pada izin Peran Kemampuan IAM. Peran Kemampuan IAM yang Anda berikan menentukan AWS sumber daya mana yang dapat dibuat dan dikelola ACK. Untuk panduan tentang membuat peran yang sesuai dengan izin hak istimewa paling sedikit, lihat dan. [Peran IAM kemampuan Amazon EKS](capability-role.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)

## Pilih alat Anda
<a name="_choose_your_tool"></a>

Anda dapat membuat kemampuan ACK menggunakan Konsol Manajemen AWS, AWS CLI, atau eksctl:
+  [Buat kemampuan ACK menggunakan Konsol](ack-create-console.md)- Gunakan Konsol untuk pengalaman terpandu
+  [Buat kemampuan ACK menggunakan AWS CLI](ack-create-cli.md)- Gunakan AWS CLI untuk scripting dan otomatisasi
+  [Buat kemampuan ACK menggunakan eksctl](ack-create-eksctl.md)- Gunakan eksctl untuk pengalaman asli Kubernetes

## Apa yang terjadi ketika Anda membuat kemampuan ACK
<a name="_what_happens_when_you_create_an_ack_capability"></a>

Saat Anda membuat kemampuan ACK:

1. EKS membuat layanan kemampuan ACK dan mengonfigurasinya untuk memantau dan mengelola sumber daya di cluster Anda

1. Definisi Sumber Daya Kustom (CRDs) diinstal di klaster Anda

1. Entri akses secara otomatis dibuat untuk Peran Kemampuan IAM Anda dengan kebijakan entri akses khusus kemampuan yang memberikan izin Kubernetes dasar (lihat) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)

1. Kemampuan mengasumsikan Peran Kemampuan IAM yang Anda berikan

1. ACK mulai mengawasi sumber daya kustomnya di cluster Anda

1. Status kemampuan berubah dari `CREATING` menjadi `ACTIVE` 

Setelah aktif, Anda dapat membuat sumber daya khusus ACK di cluster Anda untuk mengelola AWS sumber daya.

**catatan**  
Entri akses yang dibuat secara otomatis mencakup `AmazonEKSACKPolicy` yang memberikan izin ACK untuk mengelola AWS sumber daya. Beberapa sumber daya ACK yang mereferensikan rahasia Kubernetes (seperti database RDS dengan kata sandi) memerlukan kebijakan entri akses tambahan. Untuk mempelajari lebih lanjut tentang entri akses dan cara mengonfigurasi izin tambahan, lihat. [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)

## Langkah selanjutnya
<a name="_next_steps"></a>

Setelah membuat kemampuan ACK:
+  [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai dengan AWS sumber daya
+  [Konsep ACK](ack-concepts.md)- Pelajari tentang rekonsiliasi, ekspor lapangan, dan pola adopsi sumber daya
+  [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM dan pola multi-akun

# Buat kemampuan ACK menggunakan Konsol
<a name="ack-create-console"></a>

Topik ini menjelaskan cara membuat kemampuan AWS Controllers for Kubernetes (ACK) menggunakan. Konsol Manajemen AWS

## Buat kemampuan ACK
<a name="_create_the_ack_capability"></a>

1. Buka konsol Amazon EKS di https://console.aws.amazon.com/eks/ rumah\$1/cluster.

1. Pilih nama cluster Anda untuk membuka halaman detail cluster.

1. Pilih tab **Kemampuan**.

1. Di navigasi kiri, pilih ** AWS Controllers for Kubernetes** (ACK).

1. Pilih **Create AWS Controller untuk kemampuan Kubernetes**.

1. Untuk **Peran Kemampuan IAM**:
   + Jika Anda sudah memiliki Peran Kemampuan IAM, pilih dari dropdown
   + Jika Anda perlu membuat peran, pilih **Buat peran admin** 

     Ini membuka konsol IAM di tab baru dengan kebijakan kepercayaan yang telah diisi sebelumnya dan kebijakan terkelola. `AdministratorAccess` Anda dapat membatalkan pilihan kebijakan ini dan menambahkan izin lain jika diinginkan.

     Setelah membuat peran, kembali ke konsol EKS dan peran akan dipilih secara otomatis.
**penting**  
`AdministratorAccess`Kebijakan yang disarankan memberikan izin luas dan dimaksudkan untuk merampingkan memulai. Untuk penggunaan produksi, ganti ini dengan kebijakan khusus yang hanya memberikan izin yang diperlukan untuk AWS layanan tertentu yang Anda rencanakan untuk dikelola dengan ACK. Untuk panduan tentang membuat kebijakan hak istimewa terkecil, lihat dan. [Konfigurasikan izin ACK](ack-permissions.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)

1. Pilih **Buat**.

Proses pembuatan kemampuan dimulai.

## Verifikasi kemampuan aktif
<a name="_verify_the_capability_is_active"></a>

1. Pada tab **Kemampuan**, lihat status kemampuan ACK.

1. Tunggu status berubah dari `CREATING` ke`ACTIVE`.

1. Setelah aktif, kemampuan siap digunakan.

Untuk informasi tentang status kemampuan dan pemecahan masalah, lihat. [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)

## Verifikasi sumber daya khusus tersedia
<a name="_verify_custom_resources_are_available"></a>

Setelah kemampuan aktif, verifikasi bahwa sumber daya khusus ACK tersedia di klaster Anda.

 **Menggunakan konsol** 

1. Arahkan ke klaster Anda di konsol Amazon EKS

1. Pilih tab **Sumber Daya**

1. Pilih **Ekstensi** 

1. Pilih **CustomResourceDefinitions** 

Anda akan melihat sejumlah yang CRDs terdaftar untuk AWS sumber daya.

 **Menggunakan kubectl** 

```
kubectl api-resources | grep services.k8s.aws
```

Anda akan melihat sejumlah yang APIs terdaftar untuk AWS sumber daya.

**catatan**  
Kemampuan untuk AWS Controller untuk Kubernetes akan menginstal sejumlah CRDs untuk berbagai sumber daya. AWS 

## Langkah selanjutnya
<a name="_next_steps"></a>
+  [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai
+  [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM untuk layanan lain AWS 
+  [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan ACK Anda

# Buat kemampuan ACK menggunakan AWS CLI
<a name="ack-create-cli"></a>

Topik ini menjelaskan cara membuat kemampuan AWS Controllers for Kubernetes (ACK) menggunakan CLI. AWS 

## Prasyarat
<a name="_prerequisites"></a>
+  ** AWS CLI** — Versi `2.12.3` atau yang lebih baru. Untuk memeriksa versi Anda, jalankan`aws --version`. Untuk informasi selengkapnya, lihat [Menginstal](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) di Panduan Pengguna Antarmuka Baris AWS Perintah.
+  **`kubectl`**— Alat baris perintah untuk bekerja dengan cluster Kubernetes. Untuk informasi selengkapnya, lihat [Mengatur `kubectl` dan `eksctl`](install-kubectl.md).

## Langkah 1: Buat Peran Kemampuan IAM
<a name="_step_1_create_an_iam_capability_role"></a>

Buat file kebijakan kepercayaan:

```
cat > ack-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF
```

Buat peran IAM:

```
aws iam create-role \
  --role-name ACKCapabilityRole \
  --assume-role-policy-document file://ack-trust-policy.json
```

Lampirkan kebijakan `AdministratorAccess` terkelola ke peran:

```
aws iam attach-role-policy \
  --role-name ACKCapabilityRole \
  --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```

**penting**  
`AdministratorAccess`Kebijakan yang disarankan memberikan izin luas dan dimaksudkan untuk merampingkan memulai. Untuk penggunaan produksi, ganti ini dengan kebijakan khusus yang hanya memberikan izin yang diperlukan untuk AWS layanan tertentu yang Anda rencanakan untuk dikelola dengan ACK. Untuk panduan tentang membuat kebijakan hak istimewa paling sedikit, lihat dan. [Konfigurasikan izin ACK](ack-permissions.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)

## Langkah 2: Buat kemampuan ACK
<a name="_step_2_create_the_ack_capability"></a>

Buat sumber daya kemampuan ACK di cluster Anda. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.

```
aws eks create-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-ack \
  --type ACK \
  --role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
  --delete-propagation-policy RETAIN
```

Perintah segera kembali, tetapi kemampuannya membutuhkan waktu untuk menjadi aktif karena EKS menciptakan infrastruktur dan komponen kemampuan yang diperlukan. EKS akan menginstal Definisi Sumber Daya Kustom Kubernetes yang terkait dengan kemampuan ini di cluster Anda saat sedang dibuat.

**catatan**  
Jika Anda menerima kesalahan bahwa klaster tidak ada atau Anda tidak memiliki izin, verifikasi:  
Nama cluster benar
 AWS CLI Anda dikonfigurasi untuk wilayah yang benar
Anda memiliki izin IAM yang diperlukan

## Langkah 3: Verifikasi kemampuan aktif
<a name="_step_3_verify_the_capability_is_active"></a>

Tunggu kemampuan untuk menjadi aktif. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.

```
aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-ack \
  --query 'capability.status' \
  --output text
```

Kemampuan siap ketika status ditampilkan`ACTIVE`. Jangan melanjutkan ke langkah berikutnya sampai statusnya`ACTIVE`.

Anda juga dapat melihat detail kemampuan lengkap:

```
aws eks describe-capability \
  --region region-code \
  --cluster-name my-cluster \
  --capability-name my-ack
```

## Langkah 4: Verifikasi sumber daya khusus tersedia
<a name="_step_4_verify_custom_resources_are_available"></a>

Setelah kemampuan aktif, verifikasi bahwa sumber daya khusus ACK tersedia di klaster Anda:

```
kubectl api-resources | grep services.k8s.aws
```

Anda akan melihat sejumlah yang APIs terdaftar untuk AWS sumber daya.

**catatan**  
Kemampuan untuk AWS Controller untuk Kubernetes akan menginstal sejumlah CRDs untuk berbagai sumber daya. AWS 

## Langkah selanjutnya
<a name="_next_steps"></a>
+  [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai
+  [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM untuk layanan lain AWS 
+  [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan ACK Anda

# Buat kemampuan ACK menggunakan eksctl
<a name="ack-create-eksctl"></a>

Topik ini menjelaskan cara membuat kemampuan AWS Controllers for Kubernetes (ACK) menggunakan eksctl.

**catatan**  
Langkah-langkah berikut memerlukan versi `0.220.0` eksctl atau yang lebih baru. Untuk memeriksa versi Anda, jalankan`eksctl version`.

## Langkah 1: Buat Peran Kemampuan IAM
<a name="_step_1_create_an_iam_capability_role"></a>

Buat file kebijakan kepercayaan:

```
cat > ack-trust-policy.json << 'EOF'
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "capabilities.eks.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:TagSession"
      ]
    }
  ]
}
EOF
```

Buat peran IAM:

```
aws iam create-role \
  --role-name ACKCapabilityRole \
  --assume-role-policy-document file://ack-trust-policy.json
```

Lampirkan kebijakan `AdministratorAccess` terkelola ke peran:

```
aws iam attach-role-policy \
  --role-name ACKCapabilityRole \
  --policy-arn arn:aws:iam::aws:policy/AdministratorAccess
```

**penting**  
`AdministratorAccess`Kebijakan yang disarankan memberikan izin luas dan dimaksudkan untuk merampingkan memulai. Untuk penggunaan produksi, ganti ini dengan kebijakan khusus yang hanya memberikan izin yang diperlukan untuk AWS layanan tertentu yang Anda rencanakan untuk dikelola dengan ACK. Untuk panduan tentang membuat kebijakan hak istimewa terkecil, lihat dan. [Konfigurasikan izin ACK](ack-permissions.md) [Pertimbangan keamanan untuk Kemampuan EKS](capabilities-security.md)

**penting**  
Kebijakan ini memberikan izin untuk pengelolaan bucket S3`"Resource": "*"`, yang memungkinkan pengoperasian di semua bucket S3.  
Untuk penggunaan produksi: \$1 Batasi `Resource` bidang ke bucket ARNs atau pola nama tertentu \$1 Gunakan kunci kondisi IAM untuk membatasi akses dengan tag sumber daya \$1 Berikan hanya izin minimum yang diperlukan untuk kasus penggunaan Anda  
Untuk AWS layanan lainnya, lihat[Konfigurasikan izin ACK](ack-permissions.md).

Lampirkan kebijakan ke peran:

```
aws iam attach-role-policy \
  --role-name ACKCapabilityRole \
  --policy-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):policy/ACKS3Policy
```

## Langkah 2: Buat kemampuan ACK
<a name="_step_2_create_the_ack_capability"></a>

Buat kemampuan ACK menggunakan eksctl. Ganti *region-code* dengan AWS Region tempat cluster Anda berada dan ganti *my-cluster* dengan nama cluster Anda.

```
eksctl create capability \
  --cluster [.replaceable]`my-cluster` \
  --region [.replaceable]`region-code` \
  --name ack \
  --type ACK \
  --role-arn arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/ACKCapabilityRole \
  --ack-service-controllers s3
```

**catatan**  
`--ack-service-controllers`Bendera adalah opsional. Jika dihilangkan, ACK mengaktifkan semua pengontrol yang tersedia. Untuk kinerja dan keamanan yang lebih baik, pertimbangkan untuk mengaktifkan hanya pengontrol yang Anda butuhkan. Anda dapat menentukan beberapa pengontrol: `--ack-service-controllers s3,rds,dynamodb` 

Perintah segera kembali, tetapi kemampuannya membutuhkan waktu untuk menjadi aktif.

## Langkah 3: Verifikasi kemampuan aktif
<a name="_step_3_verify_the_capability_is_active"></a>

Periksa status kemampuan:

```
eksctl get capability \
  --cluster [.replaceable]`my-cluster` \
  --region [.replaceable]`region-code` \
  --name ack
```

Kemampuan siap ketika status ditampilkan`ACTIVE`.

## Langkah 4: Verifikasi sumber daya khusus tersedia
<a name="_step_4_verify_custom_resources_are_available"></a>

Setelah kemampuan aktif, verifikasi bahwa sumber daya khusus ACK tersedia di klaster Anda:

```
kubectl api-resources | grep services.k8s.aws
```

Anda akan melihat sejumlah yang APIs terdaftar untuk AWS sumber daya.

**catatan**  
Kemampuan untuk AWS Controller untuk Kubernetes akan menginstal sejumlah CRDs untuk berbagai sumber daya. AWS 

## Langkah selanjutnya
<a name="_next_steps"></a>
+  [Konsep ACK](ack-concepts.md)- Memahami konsep ACK dan memulai
+  [Konfigurasikan izin ACK](ack-permissions.md)- Konfigurasikan izin IAM untuk layanan lain AWS 
+  [Bekerja dengan sumber daya kemampuan](working-with-capabilities.md)- Kelola sumber daya kemampuan ACK Anda