**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Siapkan kredensil untuk node hybrid
Amazon EKS Hybrid Nodes menggunakan kredenal IAM sementara yang disediakan oleh aktivasi hybrid AWS SSM atau AWS Peran IAM Anywhere untuk mengautentikasi dengan kluster Amazon EKS. Anda harus menggunakan aktivasi hibrida AWS SSM atau Peran AWS IAM Di Mana Saja dengan Amazon EKS Hybrid Nodes CLI (). `nodeadm` Anda tidak boleh menggunakan aktivasi hibrida AWS SSM dan Peran AWS IAM Di Mana Saja. Kami menyarankan Anda menggunakan aktivasi hibrida AWS SSM jika Anda tidak memiliki Infrastruktur Kunci Publik (PKI) dengan Otoritas Sertifikat (CA) dan sertifikat untuk lingkungan lokal Anda. Jika Anda memiliki PKI dan sertifikat lokal, gunakan Peran AWS IAM Di Mana Saja.
## Peran IAM Node Hibrida
Sebelum Anda dapat menghubungkan node hybrid ke cluster Amazon EKS Anda, Anda harus membuat peran IAM yang akan digunakan dengan aktivasi hibrida AWS SSM atau Peran AWS IAM Anywhere untuk kredenal node hybrid Anda. Setelah pembuatan klaster, Anda akan menggunakan peran ini dengan entri akses Amazon EKS atau `aws-auth` ConfigMap entri untuk memetakan peran IAM ke Kubernetes Role-Based Access Control (RBAC). Untuk informasi lebih lanjut tentang mengaitkan peran IAM Hybrid Nodes dengan Kubernetes RBAC, lihat. [Mempersiapkan akses cluster untuk node hybrid](hybrid-nodes-cluster-prep.md)
Peran IAM Hybrid Nodes harus memiliki izin berikut.
+ Izin `nodeadm` untuk menggunakan `eks:DescribeCluster` tindakan untuk mengumpulkan informasi tentang cluster tempat Anda ingin menghubungkan node hibrida. Jika Anda tidak mengaktifkan `eks:DescribeCluster` tindakan, maka Anda harus meneruskan endpoint Kubernetes API, cluster CA bundle, dan service IPv4 CIDR dalam konfigurasi node yang Anda berikan ke perintah. `nodeadm init`
+ Izin `nodeadm` untuk menggunakan `eks:ListAccessEntries` tindakan untuk mencantumkan entri akses pada klaster yang ingin Anda sambungkan node hibrid. Jika Anda tidak mengaktifkan `eks:ListAccessEntries` tindakan, maka Anda harus melewati `--skip cluster-access-validation` bendera saat menjalankan `nodeadm init` perintah.
+ [Izin untuk kubelet untuk menggunakan image container dari Amazon Elastic Container Registry (Amazon ECR) seperti yang didefinisikan dalam kebijakan Amazon. EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)
+ Jika menggunakan AWS SSM, izin `nodeadm init` untuk menggunakan aktivasi hibrida AWS SSM seperti yang ditentukan dalam kebijakan. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)
+ Jika menggunakan AWS SSM, izin untuk menggunakan `ssm:DeregisterManagedInstance` tindakan dan `ssm:DescribeInstanceInformation` tindakan `nodeadm uninstall` untuk membatalkan pendaftaran instance.
+ (Opsional) Izin untuk Amazon EKS Pod Identity Agent untuk menggunakan `eks-auth:AssumeRoleForPodIdentity` action tersebut guna mengambil kredensial Pod.
## Siapkan AWS aktivasi hibrida SSM
Sebelum menyiapkan aktivasi hybrid AWS SSM, Anda harus memiliki peran IAM Hybrid Nodes yang dibuat dan dikonfigurasi. Untuk informasi selengkapnya, lihat [Buat peran IAM Hybrid Nodes](#hybrid-nodes-create-role). Ikuti petunjuk di [Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) di Panduan Pengguna AWS Systems Manager untuk membuat aktivasi hibrida AWS SSM untuk node hybrid Anda. Kode Aktivasi dan ID yang Anda terima digunakan `nodeadm` saat Anda mendaftarkan host Anda sebagai node hibrida dengan kluster Amazon EKS Anda. Anda dapat kembali ke langkah ini di lain waktu setelah Anda membuat dan menyiapkan kluster Amazon EKS Anda untuk node hibrida.
**penting**
Systems Manager akan segera mengembalikan Kode Aktivasi dan ID ke konsol atau jendela perintah, tergantung pada bagaimana Anda membuat aktivasi. Salin informasi ini dan simpan di tempat yang aman. Jika Anda menavigasi keluar dari konsol atau menutup jendela perintah, Anda mungkin kehilangan informasi ini. Jika Anda kehilangannya, Anda harus membuat aktivasi baru.
Secara default, aktivasi hibrida AWS SSM aktif selama 24 jam. Anda juga dapat menentukan `--expiration-date` kapan Anda membuat aktivasi hibrida dalam format stempel waktu, seperti. `2024-08-01T00:00:00` Saat Anda menggunakan AWS SSM sebagai penyedia kredensi Anda, nama node untuk node hibrida Anda tidak dapat dikonfigurasi, dan dibuat secara otomatis oleh SSM. AWS Anda dapat melihat dan mengelola Instans Terkelola AWS SSM di konsol AWS Systems Manager di bawah Fleet Manager. Anda dapat mendaftarkan hingga 1.000 [node standar yang diaktifkan hibrida](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) per akun per AWS Wilayah tanpa biaya tambahan. Namun, mendaftarkan lebih dari 1.000 node hybrid mengharuskan Anda mengaktifkan tingkat instance lanjutan. Ada biaya untuk menggunakan tingkat instans lanjutan yang tidak termasuk dalam harga [Amazon EKS](https://aws.amazon.com/eks/pricing/) Hybrid Nodes. Untuk informasi selengkapnya, lihat [Harga AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
Lihat contoh di bawah ini untuk cara membuat aktivasi hybrid AWS SSM dengan peran IAM Hybrid Nodes Anda. Saat Anda menggunakan aktivasi hibrida AWS SSM untuk kredensil node hybrid Anda, nama-nama node hibrida Anda akan memiliki format `mi-012345678abcdefgh` dan kredenal sementara yang disediakan oleh SSM berlaku selama 1 jam. AWS Anda tidak dapat mengubah nama node atau durasi kredensi saat menggunakan AWS SSM sebagai penyedia kredensi Anda. Kredensi sementara secara otomatis diputar oleh AWS SSM dan rotasi tidak memengaruhi status node atau aplikasi Anda.
Kami menyarankan Anda menggunakan satu aktivasi hibrida AWS SSM per kluster EKS untuk cakupan `ssm:DeregisterManagedInstance` izin AWS SSM dari peran IAM Hybrid Nodes agar hanya dapat membatalkan pendaftaran instance yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam contoh di halaman ini, tag dengan ARN cluster EKS digunakan, yang dapat digunakan untuk memetakan aktivasi hibrida AWS SSM Anda ke cluster EKS. Sebagai alternatif, Anda dapat menggunakan tag dan metode pilihan Anda untuk melingkupi izin AWS SSM berdasarkan batasan dan persyaratan izin Anda. `REGISTRATION_LIMIT`Opsi dalam perintah di bawah ini adalah bilangan bulat yang digunakan untuk membatasi jumlah mesin yang dapat menggunakan aktivasi hibrida AWS SSM (misalnya) `10`
```
aws ssm create-activation \
--region AWS_REGION \
--default-instance-name eks-hybrid-nodes \
--description "Activation for EKS hybrid nodes" \
--iam-role AmazonEKSHybridNodesRole \
--tags Key=EKSClusterARN,Value=arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
--registration-limit REGISTRATION_LIMIT
```
Tinjau instruksi tentang [Buat aktivasi hybrid untuk mendaftarkan node dengan Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) untuk informasi lebih lanjut tentang pengaturan konfigurasi yang tersedia untuk aktivasi hibrida AWS SSM.
## Siapkan Peran AWS IAM Di Mana Saja
Ikuti petunjuk di [Memulai Peran IAM Di Mana Saja](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html) di Panduan Pengguna IAM Roles Anywhere untuk menyiapkan jangkar kepercayaan dan profil yang akan Anda gunakan untuk kredenal IAM sementara untuk peran IAM Hybrid Nodes Anda. Saat Anda membuat profil, Anda dapat membuatnya tanpa menambahkan peran apa pun. Anda dapat membuat profil ini, kembali ke langkah-langkah ini untuk membuat peran IAM Hybrid Nodes Anda, dan kemudian menambahkan peran Anda ke profil Anda setelah dibuat. Anda dapat menggunakan AWS CloudFormation langkah-langkah selanjutnya di halaman ini untuk menyelesaikan penyiapan IAM Roles Anywhere Anda untuk node hybrid.
Saat Anda menambahkan peran IAM Hybrid Nodes ke profil Anda, pilih **Terima nama sesi peran kustom di panel Nama** **sesi peran kustom** di bagian bawah halaman **Edit profil** di konsol AWS IAM Roles Anywhere. Ini sesuai dengan bidang [acceptRoleSessionNama](https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html#rolesanywhere-CreateProfile-request-acceptRoleSessionName) `CreateProfile` API. Ini memungkinkan Anda untuk memberikan nama node khusus untuk node hybrid Anda dalam konfigurasi yang Anda berikan `nodeadm` selama proses bootstrap. Meneruskan nama node kustom selama `nodeadm init` proses diperlukan. Anda dapat memperbarui profil Anda untuk menerima nama sesi peran khusus setelah membuat profil Anda.
Anda dapat mengonfigurasi durasi validitas kredensi dengan AWS IAM Roles Anywhere melalui bidang DurationSeconds pada profil IAM Roles [Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/authentication-create-session#credentials-object) Anda. AWS Durasi default adalah 1 jam dengan maksimal 12 jam. `MaxSessionDuration`Pengaturan pada peran IAM Hybrid Nodes Anda harus lebih besar dari `durationSeconds` pengaturan pada profil AWS IAM Roles Anywhere Anda. Untuk informasi selengkapnya`MaxSessionDuration`, lihat [dokumentasi UpdateRole API](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateRole.html).
Sertifikat dan kunci per mesin yang Anda hasilkan dari otoritas sertifikat (CA) Anda harus ditempatkan di `/etc/iam/pki` direktori pada setiap node hibrida dengan nama file `server.pem` untuk sertifikat dan `server.key` untuk kunci.
## Buat peran IAM Hybrid Nodes
Untuk menjalankan langkah-langkah di bagian ini, prinsipal IAM yang menggunakan AWS konsol atau AWS CLI harus memiliki izin berikut.
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:AttachRolePolicy`
+ Jika menggunakan Peran AWS IAM Di Mana Saja
+ `rolesanywhere:CreateTrustAnchor`
+ `rolesanywhere:CreateProfile`
+ `iam:PassRole`
### AWS CloudFormation
Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Lihat [Menginstal atau memperbarui ke versi terakhir AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Langkah-langkah untuk aktivasi hibrida AWS SSM**
CloudFormation Tumpukan membuat Peran IAM Hybrid Nodes dengan izin yang diuraikan di atas. CloudFormation Template tidak membuat aktivasi hibrida AWS SSM.
1. Unduh CloudFormation template AWS SSM untuk node hybrid:
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'
```
1. Buat `cfn-ssm-parameters.json` dengan opsi berikut:
1. Ganti `ROLE_NAME` dengan nama untuk peran IAM Hybrid Nodes Anda. Secara default, CloudFormation template digunakan `AmazonEKSHybridNodesRole` sebagai nama peran yang dibuatnya jika Anda tidak menentukan nama.
1. Ganti `TAG_KEY` dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam CloudFormation template, `TAG_KEY` default ke. `EKSClusterARN`
1. Ganti `TAG_VALUE` dengan nilai tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Jika Anda menggunakan default `TAG_KEY` dari`EKSClusterARN`, maka berikan ARN cluster EKS Anda sebagai ARN. `TAG_VALUE` Kluster EKS ARNs memiliki format` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`.
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"SSMDeregisterConditionTagKey": "TAG_KEY",
"SSMDeregisterConditionTagValue": "TAG_VALUE"
}
}
```
1. Menyebarkan CloudFormation tumpukan. Ganti `STACK_NAME` dengan nama Anda untuk CloudFormation tumpukan.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ssm-cfn.yaml \
--parameter-overrides file://cfn-ssm-parameters.json \
--capabilities CAPABILITY_NAMED_IAM
```
**Langkah-langkah untuk Peran AWS IAM Di Mana Saja**
CloudFormation Tumpukan membuat jangkar kepercayaan AWS IAM Roles Anywhere dengan certificate authority (CA) yang Anda konfigurasikan, membuat profil AWS IAM Roles Anywhere, dan membuat peran IAM Hybrid Nodes dengan izin yang diuraikan sebelumnya.
1. Untuk mengatur otoritas sertifikat (CA)
1. Untuk menggunakan sumber daya CA AWS Pribadi, buka [konsol AWS Private Certificate Authority](https://console.aws.amazon.com/acm-pca/home). Ikuti petunjuk di [Panduan Pengguna CA AWS Pribadi](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
1. Untuk menggunakan CA eksternal, ikuti instruksi yang diberikan oleh CA. Anda memberikan badan sertifikat di langkah selanjutnya.
1. Sertifikat yang dikeluarkan dari publik CAs tidak dapat digunakan sebagai jangkar kepercayaan.
1. Unduh CloudFormation template AWS IAM Roles Anywhere untuk node hybrid
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'
```
1. Buat `cfn-iamra-parameters.json` dengan opsi berikut:
1. Ganti `ROLE_NAME` dengan nama untuk peran IAM Hybrid Nodes Anda. Secara default, CloudFormation template digunakan `AmazonEKSHybridNodesRole` sebagai nama peran yang dibuatnya jika Anda tidak menentukan nama.
1. Ganti `CERT_ATTRIBUTE` dengan atribut sertifikat per-mesin yang secara unik mengidentifikasi host Anda. Atribut certificate yang Anda gunakan harus cocok dengan nodeName yang Anda gunakan untuk `nodeadm` konfigurasi saat Anda menghubungkan node hybrid ke cluster Anda. Untuk informasi selengkapnya, lihat [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md). Secara default, CloudFormation template menggunakan `${aws:PrincipalTag/x509Subject/CN}` sebagai`CERT_ATTRIBUTE`, yang sesuai dengan bidang CN sertifikat per-mesin Anda. Anda bisa lolos `$(aws:PrincipalTag/x509SAN/Name/CN}` sebagai milik Anda`CERT_ATTRIBUTE`.
1. Ganti `CA_CERT_BODY` dengan badan sertifikat CA Anda tanpa jeda baris. `CA_CERT_BODY`Harus dalam format Privacy Enhanced Mail (PEM). Jika Anda memiliki sertifikat CA dalam format PEM, hapus jeda baris dan MULAI SERTIFIKAT dan AKHIR SERTIFIKAT sebelum menempatkan badan sertifikat CA di `cfn-iamra-parameters.json` file Anda.
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
"CABundleCert": "CA_CERT_BODY"
}
}
```
1. Menyebarkan CloudFormation template. Ganti `STACK_NAME` dengan nama Anda untuk CloudFormation tumpukan.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ira-cfn.yaml \
--parameter-overrides file://cfn-iamra-parameters.json
--capabilities CAPABILITY_NAMED_IAM
```
### AWS CLI
Instal dan konfigurasikan AWS CLI, jika Anda belum melakukannya. Lihat [Menginstal atau memperbarui ke versi terakhir AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Buat EKS Jelaskan Kebijakan Cluster**
1. Buat file bernama `eks-describe-cluster-policy.json` dengan konten berikut:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": "*"
}
]
}
```
1. Buat kebijakan dengan perintah berikut:
```
aws iam create-policy \
--policy-name EKSDescribeClusterPolicy \
--policy-document file://eks-describe-cluster-policy.json
```
**Langkah-langkah untuk aktivasi hibrida AWS SSM**
1. Buat file bernama `eks-hybrid-ssm-policy.json` dengan isi berikut ini. Kebijakan tersebut memberikan izin untuk dua tindakan `ssm:DescribeInstanceInformation` dan`ssm:DeregisterManagedInstance`. Kebijakan ini membatasi `ssm:DeregisterManagedInstance` izin untuk instans terkelola AWS SSM yang terkait dengan aktivasi hibrida AWS SSM Anda berdasarkan tag sumber daya yang Anda tentukan dalam kebijakan kepercayaan Anda.
1. Ganti `AWS_REGION` dengan AWS Region untuk aktivasi hybrid AWS SSM Anda.
1. Ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.
1. Ganti `TAG_KEY` dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Dalam CloudFormation template, `TAG_KEY` default ke. `EKSClusterARN`
1. Ganti `TAG_VALUE` dengan nilai tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda. Kombinasi kunci tag dan nilai tag digunakan dalam kondisi untuk hanya mengizinkan peran IAM Hybrid Nodes `ssm:DeregisterManagedInstance` untuk membatalkan pendaftaran instance terkelola AWS SSM yang terkait dengan aktivasi hibrida SSM Anda. AWS Jika Anda menggunakan default `TAG_KEY` dari`EKSClusterARN`, maka berikan ARN cluster EKS Anda sebagai ARN. `TAG_VALUE` Kluster EKS ARNs memiliki format` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Buat kebijakan dengan perintah berikut
```
aws iam create-policy \
--policy-name EKSHybridSSMPolicy \
--policy-document file://eks-hybrid-ssm-policy.json
```
1. Buat file bernama `eks-hybrid-ssm-trust.json`. Ganti `AWS_REGION` dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Buat peran dengan perintah berikut.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-ssm-trust.json
```
1. Lampirkan `EKSDescribeClusterPolicy` dan yang `EKSHybridSSMPolicy` Anda buat di langkah sebelumnya. Ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy
```
1. Lampirkan `AmazonEC2ContainerRegistryPullOnly` dan kebijakan yang `AmazonSSMManagedInstanceCore` AWS dikelola.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Langkah-langkah untuk Peran AWS IAM Di Mana Saja**
Untuk menggunakan Peran AWS IAM Di Mana Saja, Anda harus menyiapkan jangkar kepercayaan AWS IAM Roles Anywhere sebelum membuat Peran IAM Hybrid Nodes. Lihat [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) untuk instruksi.
1. Buat file bernama `eks-hybrid-iamra-trust.json`. Ganti `TRUST_ANCHOR ARN` dengan ARN dari jangkar kepercayaan yang Anda buat di langkah-langkahnya. [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) Kondisi dalam kebijakan kepercayaan ini membatasi kemampuan IAM Roles Anywhere untuk mengambil peran AWS IAM Hybrid Nodes untuk bertukar kredenal IAM sementara hanya jika nama sesi peran cocok dengan CN dalam sertifikat x509 yang diinstal pada node hybrid Anda. Anda dapat menggunakan atribut sertifikat lain untuk mengidentifikasi node Anda secara unik. Atribut sertifikat yang Anda gunakan dalam kebijakan kepercayaan harus sesuai dengan yang `nodeName` Anda tetapkan dalam `nodeadm` konfigurasi Anda. Untuk informasi selengkapnya, lihat [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Buat peran dengan perintah berikut.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-iamra-trust.json
```
1. Lampirkan yang `EKSDescribeClusterPolicy` Anda buat di langkah sebelumnya. Ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
1. Lampirkan kebijakan `AmazonEC2ContainerRegistryPullOnly` AWS terkelola
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
### Konsol Manajemen AWS
**Buat EKS Jelaskan Kebijakan Cluster**
1. Buka konsol [Amazon IAM](https://console.aws.amazon.com/iam/home)
1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.
1. Pada halaman **Kebijakan**, pilih **Buat kebijakan**.
1. Pada halaman Tentukan izin, di panel Pilih layanan, pilih EKS.
1. Filter tindakan untuk **DescribeCluster**dan pilih tindakan **DescribeCluster**Baca.
1. Pilih **Berikutnya**.
1. Pada halaman **Review dan buat**
1. Masukkan **nama Kebijakan** untuk kebijakan Anda seperti`EKSDescribeClusterPolicy`.
1. Pilih **Buat kebijakan**.
**Langkah-langkah untuk aktivasi hibrida AWS SSM**
1. Buka konsol [Amazon IAM](https://console.aws.amazon.com/iam/home)
1. Di panel navigasi di sebelah kiri, pilih **Kebijakan**.
1. Pada **halaman Kebijakan**, pilih **Buat kebijakan**.
1. Pada halaman **Tentukan izin**, di navigasi kanan atas **editor Kebijakan**, pilih **JSON**. Tempel cuplikan berikut. Ganti `AWS_REGION` dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan ganti `AWS_ACCOUNT_ID` dengan ID AWS akun Anda. Ganti `TAG_KEY` dan `TAG_VALUE` dengan kunci tag sumber daya AWS SSM yang Anda gunakan saat membuat aktivasi hibrida AWS SSM Anda.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Pilih **Berikutnya**.
1. Pada halaman **Review dan Create**.
1. Masukkan nama **Kebijakan** untuk kebijakan Anda seperti `EKSHybridSSMPolicy`
1. Pilih **Buat Kebijakan**.
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pada halaman **Peran**, pilih **Buat peran**.
1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:
1. Di bagian Jenis **entitas tepercaya**, pilih **Kebijakan kepercayaan khusus**. Tempelkan berikut ini ke editor kebijakan kepercayaan kustom. Ganti `AWS_REGION` dengan AWS Wilayah aktivasi hibrida AWS SSM Anda dan `AWS_ACCOUNT_ID` dengan ID AWS akun Anda.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Pilih Berikutnya.
1. Pada halaman **Tambahkan izin**, lampirkan kebijakan khusus atau lakukan hal berikut:
1. Di kotak **Filter kebijakan**, masukkan`EKSDescribeClusterPolicy`, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.
1. Di kotak **Filter kebijakan**, masukkan`EKSHybridSSMPolicy`, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.
1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonEC2ContainerRegistryPullOnly`. Pilih kotak centang di sebelah kiri `AmazonEC2ContainerRegistryPullOnly` dalam hasil pencarian.
1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonSSMManagedInstanceCore`. Pilih kotak centang di sebelah kiri `AmazonSSMManagedInstanceCore` dalam hasil pencarian.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, lakukan hal berikut:
1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`AmazonEKSHybridNodesRole`.
1. Untuk **Deskripsi**, ganti teks saat ini dengan teks deskriptif seperti`Amazon EKS - Hybrid Nodes role`.
1. Pilih **Buat peran**.
**Langkah-langkah untuk Peran AWS IAM Di Mana Saja**
Untuk menggunakan Peran AWS IAM Di Mana Saja, Anda harus menyiapkan jangkar kepercayaan AWS IAM Roles Anywhere sebelum membuat Peran IAM Hybrid Nodes. Lihat [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) untuk instruksi.
1. Buka konsol [Amazon IAM](https://console.aws.amazon.com/iam/home)
1. Di panel navigasi sebelah kiri, pilih **Peran**.
1. Pada halaman **Peran**, pilih **Buat peran**.
1. Pada halaman **Pilih entitas tepercaya**, lakukan hal berikut:
1. Di **bagian Jenis entitas tepercaya**, pilih **Kebijakan kepercayaan khusus**. Tempelkan berikut ini ke editor kebijakan kepercayaan kustom. Ganti `TRUST_ANCHOR ARN` dengan ARN dari jangkar kepercayaan yang Anda buat di langkah-langkahnya. [Siapkan Peran AWS IAM Di Mana Saja](#hybrid-nodes-iam-roles-anywhere) Kondisi dalam kebijakan kepercayaan ini membatasi kemampuan IAM Roles Anywhere untuk mengambil peran AWS IAM Hybrid Nodes untuk bertukar kredenal IAM sementara hanya jika nama sesi peran cocok dengan CN dalam sertifikat x509 yang diinstal pada node hybrid Anda. Anda dapat menggunakan atribut sertifikat lain untuk mengidentifikasi node Anda secara unik. Atribut sertifikat yang Anda gunakan dalam kebijakan trust harus sesuai dengan NodeName yang Anda tetapkan dalam konfigurasi nodeadm Anda. Untuk informasi selengkapnya, lihat [`nodeadm`Referensi node hibrida](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Pilih Berikutnya.
1. Pada halaman **Tambahkan izin**, lampirkan kebijakan khusus atau lakukan hal berikut:
1. Di kotak **Filter kebijakan**, masukkan`EKSDescribeClusterPolicy`, atau nama kebijakan yang Anda buat di atas. Pilih kotak centang di sebelah kiri nama kebijakan Anda di hasil penelusuran.
1. Di dalam kotak **Filter kebijakan**, masukkan `AmazonEC2ContainerRegistryPullOnly`. Pilih kotak centang di sebelah kiri `AmazonEC2ContainerRegistryPullOnly` dalam hasil pencarian.
1. Pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**, lakukan hal berikut:
1. Untuk **nama Peran**, masukkan nama unik untuk peran Anda, seperti`AmazonEKSHybridNodesRole`.
1. Untuk **Deskripsi**, ganti teks saat ini dengan teks deskriptif seperti`Amazon EKS - Hybrid Nodes role`.
1. Pilih **Buat peran**.