Ruolo IAM dei nodi ibridi AWS Configura le attivazioni ibride SSM Configura AWS IAM Roles Anywhere Creazione del ruolo IAM dei nodi ibridi

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Preparazione delle credenziali per i nodi ibridi

I nodi ibridi Amazon EKS utilizzano credenziali IAM temporanee fornite da attivazioni ibride AWS SSM o AWS IAM Roles Anywhere per l'autenticazione con il cluster Amazon EKS. È necessario utilizzare attivazioni ibride AWS SSM o AWS IAM Roles Anywhere con l'Amazon EKS Hybrid Nodes CLI (). nodeadm Non dovresti usare sia le attivazioni ibride AWS SSM che IAM Roles Anywhere. AWS Ti consigliamo di utilizzare le attivazioni ibride AWS SSM se non disponi di un'infrastruttura a chiave pubblica (PKI) esistente con un'autorità di certificazione (CA) e certificati per i tuoi ambienti locali. Se disponi di PKI e certificati esistenti in locale, usa IAM Roles Anywhere. AWS

Ruolo IAM dei nodi ibridi

Prima di poter connettere i nodi ibridi al cluster Amazon EKS, devi creare un ruolo IAM che verrà utilizzato con le attivazioni ibride AWS SSM o AWS IAM Roles Anywhere per le credenziali dei tuoi nodi ibridi. Dopo la creazione del cluster, utilizzerai questo ruolo con una voce o aws-auth ConfigMap una voce di accesso Amazon EKS per mappare il ruolo IAM a Kubernetes Role-Based Access Control (RBAC). Per ulteriori informazioni sull’associazione del ruolo IAM dei nodi ibridi con il RBAC di Kubernetes, consulta Preparazione dell’accesso al cluster per i nodi ibridi.

Il ruolo IAM dei nodi ibridi deve disporre delle seguenti autorizzazioni.

Autorizzazioni per utilizzare l'eks:DescribeClusterazione nodeadm per raccogliere informazioni sul cluster a cui desideri connettere i nodi ibridi. Se non abiliti l'eks:DescribeClusterazione, devi passare l'endpoint dell'API Kubernetes, il cluster CA bundle e il servizio IPv4 CIDR nella configurazione del nodo che passi al comando. nodeadm init
Autorizzazioni per nodeadm utilizzare l'eks:ListAccessEntriesazione per elencare le voci di accesso sul cluster a cui desideri connettere i nodi ibridi. Se non abiliti l'eks:ListAccessEntriesazione, devi passare il --skip cluster-access-validation flag quando esegui il nodeadm init comando.
Autorizzazioni per il kubelet a utilizzare le immagini dei contenitori da Amazon Elastic Container Registry (Amazon ECR) come definito nella policy di Amazon. EC2 ContainerRegistryPullOnly
Se si utilizza AWS SSM, le autorizzazioni per nodeadm init utilizzare le attivazioni ibride AWS SSM, come definito nella policy /.html. aws-managed-policy latest/reference/AmazonSSMManagedInstanceCore
Se si utilizza AWS SSM, le autorizzazioni per utilizzare l'azione e l'ssm:DeregisterManagedInstanceazione per annullare la registrazione delle istanze. ssm:DescribeInstanceInformation nodeadm uninstall
(Facoltativo) Autorizzazioni per consentire al Pod Identity Agent di Amazon EKS di utilizzare l’azione eks-auth:AssumeRoleForPodIdentity per recuperare le credenziali per i pod.

AWS Configura le attivazioni ibride SSM

Prima di configurare le attivazioni ibride AWS SSM, è necessario creare e configurare un ruolo IAM di Hybrid Nodes. Per ulteriori informazioni, consulta Creazione del ruolo IAM dei nodi ibridi. Segui le istruzioni in Creare un'attivazione ibrida per registrare i nodi con Systems Manager nella AWS Systems Manager User Guide per creare un'attivazione ibrida AWS SSM per i tuoi nodi ibridi. Il codice di attivazione e l’ID che ricevi vengono utilizzati con nodeadm quando registri i tuoi host come nodi ibridi con il tuo cluster Amazon EKS. Puoi tornare a questo passaggio in un secondo momento dopo aver creato e preparato i cluster Amazon EKS per i nodi ibridi.

Importante

Systems Manager restituisce immediatamente il codice e l’ID di attivazione alla console o finestra di comando, a seconda di come è stato creata l’attivazione. Copia queste informazioni e archiviale in un luogo sicuro. Se esci dalla console o chiudi la finestra di comando, potresti perdere queste informazioni. Se le smarrisci, devi creare una nuova attivazione.

Per impostazione predefinita, le attivazioni ibride AWS SSM sono attive per 24 ore. In alternativa, puoi specificare una --expiration-date quando crei l’attivazione ibrida in formato timestamp, ad esempio 2024-08-01T00:00:00. Quando utilizzi AWS SSM come provider di credenziali, il nome del nodo per i nodi ibridi non è configurabile e viene generato automaticamente da SSM. AWS È possibile visualizzare e gestire le istanze gestite AWS SSM nella console AWS Systems Manager in Fleet Manager. È possibile registrare fino a 1.000 nodi standard attivati in modalità ibrida per account per AWS regione senza costi aggiuntivi. Tuttavia, per registrare più di 1.000 nodi ibridi è necessario attivare il piano istanze avanzate. Viene addebitato un costo per l’utilizzo del piano istanze avanzate che non è incluso nel prezzo di Amazon EKS Hybrid Nodes. Per ulteriori informazioni, consulta Prezzi di AWS Systems Manager.

Vedi l'esempio seguente per come creare un'attivazione ibrida AWS SSM con il ruolo IAM di Hybrid Nodes. Quando utilizzi le attivazioni ibride AWS SSM per le credenziali dei tuoi nodi ibridi, i nomi dei tuoi nodi ibridi avranno il formato mi-012345678abcdefgh e le credenziali temporanee fornite da AWS SSM sono valide per 1 ora. Non è possibile modificare il nome del nodo o la durata delle credenziali quando si utilizza SSM come provider di credenziali. AWS Le credenziali temporanee vengono ruotate automaticamente da AWS SSM e la rotazione non influisce sullo stato dei nodi o delle applicazioni.

Ti consigliamo di utilizzare un'attivazione ibrida AWS SSM per cluster EKS per definire l'ssm:DeregisterManagedInstanceautorizzazione AWS SSM del ruolo IAM di Hybrid Nodes per poter annullare la registrazione solo delle istanze associate all'attivazione ibrida SSM. AWS Nell'esempio in questa pagina, viene utilizzato un tag con l'ARN del cluster EKS, che può essere utilizzato per mappare l'attivazione ibrida AWS SSM al cluster EKS. In alternativa, puoi utilizzare il tag e il metodo preferiti per definire l'ambito delle autorizzazioni AWS SSM in base ai limiti e ai requisiti di autorizzazione. L'REGISTRATION_LIMITopzione nel comando seguente è un numero intero utilizzato per limitare il numero di macchine che possono utilizzare l'attivazione ibrida AWS SSM (ad esempio) 10


aws ssm create-activation \
     --region AWS_REGION \
     --default-instance-name eks-hybrid-nodes \
     --description "Activation for EKS hybrid nodes" \
     --iam-role AmazonEKSHybridNodesRole \
     --tags Key=EKSClusterARN,Value=arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
     --registration-limit REGISTRATION_LIMIT

Consulta le istruzioni su Creare un'attivazione ibrida per registrare i nodi con Systems Manager per ulteriori informazioni sulle impostazioni di configurazione disponibili per le attivazioni ibride AWS SSM.

Configura AWS IAM Roles Anywhere

Segui le istruzioni riportate in Getting started with IAM Roles Anywhere nella Guida per l’utente di IAM Roles Anywhere per configurare l’ancora di fiducia e il profilo che utilizzerai per le credenziali IAM temporanee per il tuo ruolo IAM dei nodi ibridi. Quando crei il tuo profilo, puoi crearlo senza aggiungere alcun ruolo. Puoi creare questo profilo, tornare a questi passaggi per creare il tuo ruolo IAM dei nodi ibridi e quindi aggiungere il tuo ruolo al profilo dopo averlo creato. In alternativa, puoi utilizzare i AWS CloudFormation passaggi riportati più avanti in questa pagina per completare la configurazione di IAM Roles Anywhere per i nodi ibridi.

Quando aggiungi il ruolo IAM Hybrid Nodes al tuo profilo, seleziona Accetta il nome della sessione di ruolo personalizzato nel pannello Nome sessione di ruolo personalizzato nella parte inferiore della pagina Modifica profilo nella console AWS IAM Roles Anywhere. Corrisponde al campo acceptRoleSessionNome dell'CreateProfileAPI. Ciò consente di fornire un nome di nodo personalizzato per i nodi ibridi nella configurazione a cui si passa durante il processo di bootstrap nodeadm. È necessario passare un nome di nodo personalizzato durante il processo nodeadm init. Puoi aggiornare il tuo profilo per accettare un nome di sessione di ruolo personalizzato dopo aver creato il tuo profilo.

Puoi configurare la durata di validità delle credenziali con AWS IAM Roles Anywhere tramite il campo DurationSeconds del AWS tuo profilo IAM Roles Anywhere. La durata predefinita è di 1 ora con un massimo di 12 ore. L'MaxSessionDurationimpostazione sul tuo ruolo IAM Hybrid Nodes deve essere maggiore dell'durationSecondsimpostazione sul tuo profilo AWS IAM Roles Anywhere. Per ulteriori informazioniMaxSessionDuration, consulta la documentazione UpdateRole dell'API.

I certificati e le chiavi per computer generati dalla tua autorità di certificazione (CA) devono essere inseriti nella directory /etc/iam/pki di ogni nodo ibrido con i nomi dei file server.pem per il certificato e server.key per la chiave.

Creazione del ruolo IAM dei nodi ibridi

Per eseguire i passaggi di questa sezione, il principale IAM che utilizza la AWS console o la AWS CLI deve disporre delle seguenti autorizzazioni.

iam:CreatePolicy
iam:CreateRole
iam:AttachRolePolicy
Se si utilizza AWS IAM Roles Anywhere
- rolesanywhere:CreateTrustAnchor
- rolesanywhere:CreateProfile
- iam:PassRole

AWS CloudFormation

Installa e configura la AWS CLI, se non l'hai già fatto. Vedi Installazione o aggiornamento all'ultima versione della AWS CLI.

Passaggi per le attivazioni AWS ibride SSM

Lo CloudFormation stack crea il ruolo IAM di Hybrid Nodes con le autorizzazioni sopra descritte. Il CloudFormation modello non crea l'attivazione ibrida AWS SSM.

Scarica il CloudFormation modello AWS SSM per i nodi ibridi:


curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'

Creare un cfn-ssm-parameters.json con le seguenti opzioni:
1. Sostituisci ROLE_NAME con il nome del ruolo IAM dei nodi ibridi. Per impostazione predefinita, il CloudFormation modello utilizza AmazonEKSHybridNodesRole come nome del ruolo creato se non si specifica un nome.
2. TAG_KEYSostituiscilo con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Nel modello, l'impostazione predefinita è. CloudFormation TAG_KEY EKSClusterARN
3. Sostituisci TAG_VALUE con il valore del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Se utilizzi l’impostazione predefinita TAG_KEY di EKSClusterARN, passa l’ARN del cluster EKS come TAG_VALUE. I cluster EKS hanno il formato. ARNs arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME
```
{
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "SSMDeregisterConditionTagKey": "TAG_KEY",
    "SSMDeregisterConditionTagValue": "TAG_VALUE"
  }
}
```

Implementa lo CloudFormation stack. STACK_NAMESostituiscilo con il tuo nome per lo stack CloudFormation .


aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ssm-cfn.yaml \
    --parameter-overrides file://cfn-ssm-parameters.json \
    --capabilities CAPABILITY_NAMED_IAM

Passaggi per AWS IAM Roles Anywhere

Lo CloudFormation stack crea il trust anchor di AWS IAM Roles Anywhere con l'autorità di certificazione (CA) che configuri, crea il profilo AWS IAM Roles Anywhere e crea il ruolo IAM di Hybrid Nodes con le autorizzazioni descritte in precedenza.

Configurazione di un’autorità di certificazione (CA)
1. Per utilizzare una risorsa CA AWS privata, apri la console Private AWS Certificate Authority. Segui le istruzioni contenute in AWS Private CA User Guide.
2. Per utilizzare una CA esterna, segui le istruzioni fornite dalla CA. Fornisci l’ente di certificazione in una fase successiva.
3. I certificati emessi da fonti pubbliche CAs non possono essere utilizzati come ancoraggi di fiducia.

Scarica il CloudFormation modello AWS IAM Roles Anywhere per nodi ibridi


curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'

Creare un cfn-iamra-parameters.json con le seguenti opzioni:
1. Sostituisci ROLE_NAME con il nome del ruolo IAM dei nodi ibridi. Per impostazione predefinita, se non specifichi un nome, il CloudFormation modello utilizza AmazonEKSHybridNodesRole il nome del ruolo che crea.
2. Sostituisci CERT_ATTRIBUTE con l’attributo del certificato per computer che identifica in modo univoco l’host. L’attributo del certificato utilizzato deve corrispondere al nodeName utilizzato per la configurazione nodeadm quando si connettono i nodi ibridi al cluster. Per ulteriori informazioni, consulta Riferimento nodeadm dei nodi ibridi. Per impostazione predefinita, il CloudFormation modello utilizza ${aws:PrincipalTag/x509Subject/CN} comeCERT_ATTRIBUTE, che corrisponde al campo CN dei certificati per computer. In alternativa puoi passare $(aws:PrincipalTag/x509SAN/Name/CN} come tuo CERT_ATTRIBUTE.
3. Sostituisci CA_CERT_BODY con l’ente del certificato della tua CA senza interruzioni di riga. Il CA_CERT_BODY deve essere in formato Privacy-Enhanced Mail (PEM). Se disponi di un certificato CA in formato PEM, rimuovi le interruzioni di riga e le righe BEGIN CERTIFICATE e END CERTIFICATE prima di inserire l’ente del certificato CA nel file cfn-iamra-parameters.json.
```
{
  "Parameters": {
    "RoleName": "ROLE_NAME",
    "CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
    "CABundleCert": "CA_CERT_BODY"
  }
}
```

Implementa il modello. CloudFormation STACK_NAMESostituiscilo con il tuo nome per lo CloudFormation stack.


aws cloudformation deploy \
    --stack-name STACK_NAME \
    --template-file hybrid-ira-cfn.yaml \
    --parameter-overrides file://cfn-iamra-parameters.json
    --capabilities CAPABILITY_NAMED_IAM

AWS CLI

Installa e configura la AWS CLI, se non l'hai già fatto. Vedi Installazione o aggiornamento all'ultima versione della AWS CLI.

Crea la policy del cluster per descrivere EKS

Crea un file denominato eks-describe-cluster-policy.json con i seguenti contenuti:


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        }
    ]
}

Creare la policy con il seguente comando:


aws iam create-policy \
    --policy-name EKSDescribeClusterPolicy \
    --policy-document file://eks-describe-cluster-policy.json

Passaggi per le attivazioni AWS ibride SSM

Crea un file denominato eks-hybrid-ssm-policy.json con i seguenti contenuti. La policy concede l’autorizzazione per le azioni ssm:DescribeInstanceInformation e ssm:DeregisterManagedInstance. La policy limita l'ssm:DeregisterManagedInstanceautorizzazione alle istanze gestite da AWS SSM associate all'attivazione ibrida AWS SSM in base al tag di risorsa specificato nella politica di attendibilità.
1. AWS_REGIONSostituiscila con la AWS regione per l'attivazione ibrida SSM AWS .
2. AWS_ACCOUNT_IDSostituiscilo con l'ID AWS del tuo account.
3. TAG_KEYSostituiscilo con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Nel modello, l'impostazione predefinita è. CloudFormation TAG_KEY EKSClusterARN
4. Sostituisci TAG_VALUE con il valore del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo ssm:DeregisterManagedInstance al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Se utilizzi l’impostazione predefinita TAG_KEY di EKSClusterARN, passa l’ARN del cluster EKS come TAG_VALUE. I cluster EKS hanno il formato. ARNs arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME
```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}
```

Creare la policy con il seguente comando


aws iam create-policy \
    --policy-name EKSHybridSSMPolicy \
    --policy-document file://eks-hybrid-ssm-policy.json

Crea un file denominato eks-hybrid-ssm-trust.json. Sostituiscilo AWS_REGION con la AWS regione dell'attivazione ibrida AWS SSM e AWS_ACCOUNT_ID con l'ID AWS del tuo account.


{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
            }
         }
      }
   ]
}

Crea il ruolo con il comando seguente.


aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-ssm-trust.json

Collega EKSDescribeClusterPolicy e EKSHybridSSMPolicy che hai creato nei passaggi precedenti. AWS_ACCOUNT_IDSostituiscilo con l'ID AWS del tuo account.


aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy


aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy

Allega le politiche AmazonEC2ContainerRegistryPullOnly e AmazonSSMManagedInstanceCore AWS gestisci.


aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly


aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonSSMManagedInstanceCore

Passaggi per AWS IAM Roles Anywhere

Per utilizzare AWS IAM Roles Anywhere, devi configurare il tuo trust anchor AWS IAM Roles Anywhere prima di creare il ruolo IAM di Hybrid Nodes. Per istruzioni, consulta Configura AWS IAM Roles Anywhere.

Crea un file denominato eks-hybrid-iamra-trust.json. Sostituisci TRUST_ANCHOR ARN con l’ARN dell’ancora di fiducia che hai creato nei passaggi Configura AWS IAM Roles Anywhere. La condizione contenuta in questa policy di fiducia limita la capacità di AWS IAM Roles Anywhere di assumere il ruolo IAM di Hybrid Nodes per lo scambio di credenziali IAM temporanee solo quando il nome della sessione di ruolo corrisponde al CN nel certificato x509 installato sui nodi ibridi. In alternativa, puoi utilizzare altri attributi del certificato per identificare in modo univoco il tuo nodo. L’attributo del certificato che usi nella policy di fiducia deve corrispondere a nodeName che hai impostato nella configurazione nodeadm. Per ulteriori informazioni, consulta Riferimento nodeadm dei nodi ibridi.


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
                    "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                }
            }
        }
    ]
}

Crea il ruolo con il comando seguente.


aws iam create-role \
    --role-name AmazonEKSHybridNodesRole \
    --assume-role-policy-document file://eks-hybrid-iamra-trust.json

Collega la EKSDescribeClusterPolicy che hai creato nei passaggi precedenti. Sostituiscilo AWS_ACCOUNT_ID con l'ID del tuo account. AWS


aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy

Allega la politica AmazonEC2ContainerRegistryPullOnly AWS gestita


aws iam attach-role-policy \
    --role-name AmazonEKSHybridNodesRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly

Console di gestione AWS

Crea la policy del cluster per descrivere EKS

Apri la console Amazon IAM
Nel pannello di navigazione a sinistra, seleziona Policy.
Nella pagina Policy, scegli Crea policy.
Nella pagina Specifica le autorizzazioni, in Seleziona un pannello di servizio scegli EKS.
1. Filtra le azioni DescribeClustere seleziona l'azione DescribeClusterLeggi.
2. Scegli Next (Successivo).
Nella pagina Verifica e crea
1. Immetti un Nome policy per la tua policy, come EKSDescribeClusterPolicy.
2. Scegli Crea policy.

Passaggi per le attivazioni ibride AWS SSM

Apri la console Amazon IAM
Nel pannello di navigazione a sinistra, seleziona Policy.
Nella pagina Policy, scegli Crea policy.

Nella pagina Specifica autorizzazioni, nella barra di navigazione in alto a destra Editor della policy, scegli JSON. Incollare il frammento seguente. AWS_REGIONSostituiscila con la AWS regione dell'attivazione ibrida AWS SSM e sostituiscila AWS_ACCOUNT_ID con l'ID del tuo AWS account. Sostituisci TAG_KEY e TAG_VALUE con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM.


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ssm:DescribeInstanceInformation",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:DeregisterManagedInstance",
            "Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
            "Condition": {
                "StringEquals": {
                    "ssm:resourceTag/TAG_KEY": "TAG_VALUE"
                }
            }
        }
    ]
}

Scegli Next (Successivo).

Nella pagina Verifica e crea
1. Immetti un nome Policy per la tua policy, come EKSHybridSSMPolicy.
2. Scegli Crea policy.
Nel pannello di navigazione a sinistra, seleziona Ruoli.
Nella pagina Ruoli, seleziona Crea ruolo.

Nella pagina Seleziona un’entità attendibile, esegui le operazioni seguenti:


{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Sid":"",
         "Effect":"Allow",
         "Principal":{
            "Service":"ssm.amazonaws.com"
         },
         "Action":"sts:AssumeRole",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":"123456789012"
            },
            "ArnEquals":{
               "aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
            }
         }
      }
   ]
}

Scegli Next (Successivo).

Nella pagina Aggiungi autorizzazioni, collega una policy personalizzata o esegui le operazioni seguenti:
1. Nella casella Filtra policy, inserisci EKSDescribeClusterPolicy o il nome della policy creata in precedenza. Seleziona la casella di controllo a sinistra il nome della policy nei risultati della ricerca.
2. Nella casella Filtra policy, inserisci EKSHybridSSMPolicy o il nome della policy creata in precedenza. Seleziona la casella di controllo a sinistra il nome della policy nei risultati della ricerca.
3. Nella casella Filtra policy, inserisci AmazonEC2ContainerRegistryPullOnly. Seleziona la casella di controllo a sinistra di AmazonEC2ContainerRegistryPullOnly nei risultati di ricerca.
4. Nella casella Filtra policy, inserisci AmazonSSMManagedInstanceCore. Seleziona la casella di controllo a sinistra della AmazonSSMManagedInstanceCore nei risultati di ricerca.
5. Scegli Successivo.
Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:
1. Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio AmazonEKSHybridNodesRole.
2. Per Description (Descrizione), sostituisci il testo corrente con un testo descrittivo come Amazon EKS - Hybrid Nodes role.
3. Scegli Crea ruolo.

Passaggi per AWS IAM Roles Anywhere

Apri la console Amazon IAM
Nel pannello di navigazione a sinistra, seleziona Ruoli.
Nella pagina Ruoli, seleziona Crea ruolo.

Nella pagina Seleziona un’entità attendibile, esegui le operazioni seguenti:

Nel sezione Tipo di entità attendibile, scegli Policy di attendibilità personalizzata. Incolla quanto segue nell’editor della policy di attendibilità personalizzata. Sostituisci TRUST_ANCHOR ARN con l’ARN dell’ancora di fiducia che hai creato nei passaggi Configura AWS IAM Roles Anywhere. La condizione contenuta in questa policy di fiducia limita la capacità di AWS IAM Roles Anywhere di assumere il ruolo IAM di Hybrid Nodes per lo scambio di credenziali IAM temporanee solo quando il nome della sessione di ruolo corrisponde al CN nel certificato x509 installato sui nodi ibridi. In alternativa, puoi utilizzare altri attributi del certificato per identificare in modo univoco il tuo nodo. L’attributo del certificato che usi nella policy di fiducia deve corrispondere al nodeName che hai impostato nella configurazione bideadm. Per ulteriori informazioni, consulta Riferimento nodeadm dei nodi ibridi.


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": [
                "sts:TagSession",
                "sts:SetSourceIdentity"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rolesanywhere.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
                    "aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
                },
                "ArnEquals": {
                    "aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
                }
            }
        }
    ]
}

Scegli Next (Successivo).

Nella pagina Aggiungi autorizzazioni, collega una policy personalizzata o esegui le operazioni seguenti:
1. Nella casella Filtra policy, inserisci EKSDescribeClusterPolicy o il nome della policy creata in precedenza. Seleziona la casella di controllo a sinistra il nome della policy nei risultati della ricerca.
2. Nella casella Filtra policy, inserisci AmazonEC2ContainerRegistryPullOnly. Seleziona la casella di controllo a sinistra della AmazonEC2ContainerRegistryPullOnly nei risultati di ricerca.
3. Scegli Successivo.
Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:
1. Per Nome ruolo, inserisci un nome univoco per il ruolo, ad esempio AmazonEKSHybridNodesRole.
2. Per Description (Descrizione), sostituisci il testo corrente con un testo descrittivo come Amazon EKS - Hybrid Nodes role.
3. Scegli Crea ruolo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Preparazione del sistema operativo

Crea cluster