**Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Aggiorna i controlli organizzativi per la modalità automatica di EKS
<a name="auto-controls"></a>

Alcuni controlli organizzativi possono impedire il corretto funzionamento della modalità automatica di EKS. In tal caso, devi aggiornare questi controlli per consentire alla modalità automatica di EKS di disporre delle autorizzazioni necessarie per gestire le istanze EC2 per conto dell’utente.

modalità automatica di EKS utilizza un ruolo di servizio per l’avvio delle istanze EC2 che supportano i nodi della modalità automatica di EKS. Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) creato nell’account che un servizio assume per eseguire operazioni nell’account. Le [policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) si applicano sempre alle operazioni eseguite con i ruoli di servizio. Ciò consente a una SCP di inibire le operazioni di Auto Mode. La circostanza più comune si verifica quando una SCP viene utilizzata per limitare le Amazon Machine Image (AMI) che possono essere avviate. Per consentire il funzionamento della modalità automatica di EKS, modifica la SCP per consentire l’avvio di AMI dagli account modalità automatica di EKS.

Puoi anche possibile utilizzare la funzionalità [EC2 Allowed AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) per limitare la visibilità delle AMI in altri account. Se utilizzi questa funzionalità, devi espandere i criteri dell’immagine per includere anche gli account AMI della modalità automatica di EKS nelle regioni di interesse.

## Ad esempio: SCP per bloccare tutte le AMI ad eccezione delle AMI della modalità automatica di EKS
<a name="_example_scp_to_block_all_amis_except_for_eks_auto_mode_amis"></a>

La SCP riportata di seguito impedisce di chiamare `ec2:RunInstances` a meno che l’AMI non appartenga all’account AMI della modalità automatica di EKS per us-west-2 o us-east-1.

**Nota**  
È importante **non** usare la chiave di contesto `ec2:Owner`. Amazon possiede gli account AMI della modalità automatica di EKS e il valore di questa chiave sarà sempre `amazon`. La creazione di un SCP che consenta il lancio di AMI (se è) `amazon` consentirà il `ec2:Owner` lancio di qualsiasi AMI di proprietà di Amazon, non solo quelle per EKS Auto Mode.

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}
```

## Account AMI della modalità automatica di EKS
<a name="_eks_auto_mode_ami_accounts"></a>

 AWS gli account che variano in base alla regione ospitano le AMI pubbliche di EKS Auto Mode.


|  |  | 
| --- |--- |
|  AWS Regione | Account | 
| af-south-1 | 471112993317 | 
| ap-east-1 | 590183728416 | 
| ap-east-2 | 381492200852 | 
| ap-northeast-1 | 851725346105 | 
| ap-northeast-2 | 992382805010 | 
| ap-northeast-3 | 891377407544 | 
| ap-south-1 | 975049899075 | 
| ap-south-2 | 590183737426 | 
| ap-southeast-1 | 339712723301 | 
| ap-southeast-2 | 058264376476 | 
| ap-southeast-3 | 471112941769 | 
| ap-southeast-4 | 590183863144 | 
| ap-southeast-5 | 654654202513 | 
| ap-southeast-6 | 905418310314 | 
| ap-southeast-7 | 533267217478 | 
| ca-central-1 | 992382439851 | 
| ca-west-1 | 767397959864 | 
| eu-central-1 | 891376953411 | 
| eu-central-2 | 381492036002 | 
| eu-north-1 | 339712696471 | 
| eu-south-1 | 975049955519 | 
| eu-south-2 | 471112620929 | 
| eu-west-1 | 381492008532 | 
| eu-west-2 | 590184142468 | 
| eu-west-3 | 891376969258 | 
| il-central-1 | 590183797093 | 
| me-central-1 | 637423494195 | 
| me-south-1 | 905418070398 | 
| mx-central-1 | 211125506622 | 
| sa-east-1 | 339712709251 | 
| us-east-1 | 992382739861 | 
| us-east-2 | 975050179949 | 
| us-west-1 | 975050035094 | 
| us-west-2 | 767397842682 | 
| us-gov-east-1 | 446077414359 | 
| us-gov-west-1 | 446098668741 | 

## Associare un indirizzo IP pubblico
<a name="_associate_public_ip_address"></a>

Quando viene chiamato `ec2:RunInstances`, il campo `AssociatePublicIpAddress` per l’avvio di un’istanza viene determinato automaticamente dal tipo di sottorete in cui viene avviata l’istanza. È possibile utilizzare un SCP per far sì che questo valore sia impostato esplicitamente su false, indipendentemente dal tipo di sottorete in cui viene avviato. In questo caso il NodeClass campo `spec.advancedNetworking.associatePublicIPAddress` può anche essere impostato su false per soddisfare i requisiti dell'SCP.

```
  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }
```