Ruolo IAM del cluster Amazon EKS - Amazon EKS
Verifica della presenza di un ruolo del cluster esistenteCreazione del ruolo del cluster Amazon EKS

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Ruolo IAM del cluster Amazon EKS

Ѐ richiesto un ruolo IAM del cluster di Amazon EKS per ogni cluster. I cluster Kubernetes gestiti da Amazon EKS utilizzano questo ruolo per gestire i nodi e il provider di servizi cloud utilizza questo ruolo per creare bilanciatori del carico con Elastic Load Balancing per i servizi.

Prima di poter creare cluster Amazon EKS, devi creare un ruolo IAM con una delle seguenti policy IAM:

  • AmazonEKSClusterPolicy

  • Una policy IAM personalizzata. Le autorizzazioni minime che seguono consentono al cluster di Kubernetes di gestire i nodi, ma non consentono al provider di servizi cloud di creare bilanciatori del carico con bilanciamento del carico elastico. La policy IAM personalizzata deve disporre almeno delle seguenti autorizzazioni:

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:CreateTags"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "ForAnyValue:StringLike": {
          "aws:TagKeys": "kubernetes.io/cluster/*"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeVpcs",
        "ec2:DescribeDhcpOptions",
        "ec2:DescribeAvailabilityZones",
        "ec2:DescribeInstanceTopology",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    }
  ]
}
Nota

Prima del 3 ottobre 2023, AmazonEKSClusterPolicy era obbligatoria nel ruolo IAM per ciascun cluster.

Prima del 16 aprile 2020, erano obbligatorie AmazonEKSServicePolicy e AmazonEKSClusterPolicy e il nome suggerito per il ruolo era eksServiceRole. Con il ruolo AWSServiceRoleForAmazonEKS collegato ai servizi, la policy AmazonEKSServicePolicy non è più necessaria per i cluster creati a partire dal 16 aprile 2020.

Verifica della presenza di un ruolo del cluster esistente

Per verificare se l’account dispone già di un ruolo del cluster Amazon EKS, puoi utilizzare la procedura indicata di seguito.

  1. Aprire la console IAM all’indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione a sinistra, seleziona Ruoli.

  3. Cerca l’elenco dei ruoli per eksClusterRole. Se un ruolo che include eksClusterRole non esiste, consultare Creazione del ruolo del cluster Amazon EKS per crearlo. Se un ruolo che include eksClusterRole esiste, seleziona il ruolo per visualizzare le policy allegate.

  4. Selezionare Autorizzazioni.

  5. Assicurarsi che la policy gestita AmazonEKSClusterPolicy sia allegata al ruolo. Se la policy è allegata, il ruolo del cluster Amazon EKS è configurato correttamente.

  6. Scegliere Relazioni di attendibilità, quindi scegliere Modifica policy di attendibilità.

  7. Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli Cancel (Annulla). Se la relazione di attendibilità non corrisponde, copia la policy nella finestra Modifica policy di attendibilità e scegli Aggiorna policy.

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Creazione del ruolo del cluster Amazon EKS

Per creare un ruolo del cluster, puoi utilizzare la Console di gestione AWS o AWS CLI.

Console di gestione AWS

  1. Aprire la console IAM all’indirizzo https://console.aws.amazon.com/iam/.

  2. Scegli Ruoli, quindi Crea ruolo.

  3. In Tipo di entità attendibile, scegliere Servizio AWS.

  4. Nell’elenco a discesa Casi d’uso per altri servizi AWS, scegliere EKS.

  5. Scegli EKS - Cluster per il caso d’uso, quindi scegli Successivo.

  6. Nella scheda Aggiungi autorizzazioni, scegli Successivo.

  7. Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio eksClusterRole.

  8. Per Description (Descrizione), inserisci un testo descrittivo come Amazon EKS - Cluster role.

  9. Scegliere Crea ruolo.

CLI AWS

  1. Copiare i contenuti seguenti in un file denominato cluster-trust-policy.json.

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "eks.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

  2. Crea il ruolo. Puoi sostituire eksClusterRole con un nome a scelta.

    aws iam create-role \
  --role-name eksClusterRole \
  --assume-role-policy-document file://"cluster-trust-policy.json"

  3. Allega la policy IAM richiesta al ruolo.

    aws iam attach-role-policy \
  --policy-arn arn:aws:iam::aws:policy/AmazonEKSClusterPolicy \
  --role-name eksClusterRole