**Contribuisci a migliorare questa pagina**
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Preparazione delle credenziali per i nodi ibridi
I nodi ibridi Amazon EKS utilizzano credenziali IAM temporanee fornite da attivazioni ibride AWS SSM o AWS IAM Roles Anywhere per l'autenticazione con il cluster Amazon EKS. È necessario utilizzare attivazioni ibride AWS SSM o AWS IAM Roles Anywhere con l'Amazon EKS Hybrid Nodes CLI (). `nodeadm` Non dovresti usare sia le attivazioni ibride AWS SSM che IAM Roles Anywhere. AWS Ti consigliamo di utilizzare le attivazioni ibride AWS SSM se non disponi di un'infrastruttura a chiave pubblica (PKI) esistente con un'autorità di certificazione (CA) e certificati per i tuoi ambienti locali. Se disponi di PKI e certificati esistenti in locale, usa IAM Roles Anywhere. AWS
## Ruolo IAM dei nodi ibridi
Prima di poter connettere i nodi ibridi al cluster Amazon EKS, devi creare un ruolo IAM che verrà utilizzato con le attivazioni ibride AWS SSM o AWS IAM Roles Anywhere per le credenziali dei tuoi nodi ibridi. Dopo la creazione del cluster, utilizzerai questo ruolo con una voce o `aws-auth` ConfigMap una voce di accesso Amazon EKS per mappare il ruolo IAM a Kubernetes Role-Based Access Control (RBAC). Per ulteriori informazioni sull’associazione del ruolo IAM dei nodi ibridi con il RBAC di Kubernetes, consulta [Preparazione dell’accesso al cluster per i nodi ibridi](hybrid-nodes-cluster-prep.md).
Il ruolo IAM dei nodi ibridi deve disporre delle seguenti autorizzazioni.
+ Autorizzazioni per utilizzare l'`eks:DescribeCluster`azione `nodeadm` per raccogliere informazioni sul cluster a cui desideri connettere i nodi ibridi. Se non abiliti l'`eks:DescribeCluster`azione, devi passare l'endpoint dell'API Kubernetes, il cluster CA bundle e il servizio IPv4 CIDR nella configurazione del nodo che passi al comando. `nodeadm init`
+ Autorizzazioni per `nodeadm` utilizzare l'`eks:ListAccessEntries`azione per elencare le voci di accesso sul cluster a cui desideri connettere i nodi ibridi. Se non abiliti l'`eks:ListAccessEntries`azione, devi passare il `--skip cluster-access-validation` flag quando esegui il `nodeadm init` comando.
+ [Autorizzazioni per il kubelet a utilizzare le immagini dei contenitori da Amazon Elastic Container Registry (Amazon ECR) come definito nella policy di Amazon. EC2 ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html)
+ Se si utilizza AWS SSM, le autorizzazioni per `nodeadm init` utilizzare le attivazioni ibride AWS SSM come definito nella policy. [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html)
+ Se si utilizza AWS SSM, le autorizzazioni per utilizzare l'`ssm:DeregisterManagedInstance`azione e `ssm:DescribeInstanceInformation` l'azione per annullare la registrazione delle istanze. `nodeadm uninstall`
+ (Facoltativo) Autorizzazioni per consentire al Pod Identity Agent di Amazon EKS di utilizzare l’azione `eks-auth:AssumeRoleForPodIdentity` per recuperare le credenziali per i pod.
## AWS Configura le attivazioni ibride SSM
Prima di configurare le attivazioni ibride AWS SSM, è necessario creare e configurare un ruolo IAM Hybrid Nodes. Per ulteriori informazioni, consulta [Creazione del ruolo IAM dei nodi ibridi](#hybrid-nodes-create-role). Segui le istruzioni in [Creare un'attivazione ibrida per registrare i nodi con Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) nella AWS Systems Manager User Guide per creare un'attivazione ibrida AWS SSM per i tuoi nodi ibridi. Il codice di attivazione e l’ID che ricevi vengono utilizzati con `nodeadm` quando registri i tuoi host come nodi ibridi con il tuo cluster Amazon EKS. Puoi tornare a questo passaggio in un secondo momento dopo aver creato e preparato i cluster Amazon EKS per i nodi ibridi.
**Importante**
Systems Manager restituisce immediatamente il codice e l’ID di attivazione alla console o finestra di comando, a seconda di come è stato creata l’attivazione. Copia queste informazioni e archiviale in un luogo sicuro. Se esci dalla console o chiudi la finestra di comando, potresti perdere queste informazioni. Se le smarrisci, devi creare una nuova attivazione.
Per impostazione predefinita, le attivazioni ibride AWS SSM sono attive per 24 ore. In alternativa, puoi specificare una `--expiration-date` quando crei l’attivazione ibrida in formato timestamp, ad esempio `2024-08-01T00:00:00`. Quando utilizzi AWS SSM come provider di credenziali, il nome del nodo per i nodi ibridi non è configurabile e viene generato automaticamente da SSM. AWS È possibile visualizzare e gestire le istanze gestite AWS SSM nella console AWS Systems Manager in Fleet Manager. È possibile registrare fino a 1.000 [nodi standard attivati in modalità ibrida](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) per account per AWS regione senza costi aggiuntivi. Tuttavia, per registrare più di 1.000 nodi ibridi è necessario attivare il piano istanze avanzate. Viene addebitato un costo per l’utilizzo del piano istanze avanzate che non è incluso nel [prezzo di Amazon EKS Hybrid Nodes](https://aws.amazon.com/eks/pricing/). Per ulteriori informazioni, consulta [Prezzi di AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
Vedi l'esempio seguente per come creare un'attivazione ibrida AWS SSM con il ruolo IAM di Hybrid Nodes. Quando utilizzi le attivazioni ibride AWS SSM per le credenziali dei tuoi nodi ibridi, i nomi dei tuoi nodi ibridi avranno il formato `mi-012345678abcdefgh` e le credenziali temporanee fornite da AWS SSM sono valide per 1 ora. Non è possibile modificare il nome del nodo o la durata delle credenziali quando si utilizza SSM come provider di credenziali. AWS Le credenziali temporanee vengono ruotate automaticamente da AWS SSM e la rotazione non influisce sullo stato dei nodi o delle applicazioni.
Ti consigliamo di utilizzare un'attivazione ibrida AWS SSM per cluster EKS per definire l'`ssm:DeregisterManagedInstance`autorizzazione AWS SSM del ruolo IAM di Hybrid Nodes per poter annullare la registrazione solo delle istanze associate all'attivazione ibrida SSM. AWS Nell'esempio in questa pagina, viene utilizzato un tag con l'ARN del cluster EKS, che può essere utilizzato per mappare l'attivazione ibrida AWS SSM al cluster EKS. In alternativa, puoi utilizzare il tag e il metodo preferiti per definire l'ambito delle autorizzazioni AWS SSM in base ai limiti e ai requisiti di autorizzazione. L'`REGISTRATION_LIMIT`opzione nel comando seguente è un numero intero utilizzato per limitare il numero di macchine che possono utilizzare l'attivazione ibrida AWS SSM (ad esempio) `10`
```
aws ssm create-activation \
--region AWS_REGION \
--default-instance-name eks-hybrid-nodes \
--description "Activation for EKS hybrid nodes" \
--iam-role AmazonEKSHybridNodesRole \
--tags Key=EKSClusterARN,Value=arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
--registration-limit REGISTRATION_LIMIT
```
Consulta le istruzioni su [Creare un'attivazione ibrida per registrare i nodi con Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) per ulteriori informazioni sulle impostazioni di configurazione disponibili per le attivazioni ibride AWS SSM.
## Configura AWS IAM Roles Anywhere
Segui le istruzioni riportate in [Getting started with IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html) nella Guida per l’utente di IAM Roles Anywhere per configurare l’ancora di fiducia e il profilo che utilizzerai per le credenziali IAM temporanee per il tuo ruolo IAM dei nodi ibridi. Quando crei il tuo profilo, puoi crearlo senza aggiungere alcun ruolo. Puoi creare questo profilo, tornare a questi passaggi per creare il tuo ruolo IAM dei nodi ibridi e quindi aggiungere il tuo ruolo al profilo dopo averlo creato. In alternativa, puoi utilizzare i AWS CloudFormation passaggi riportati più avanti in questa pagina per completare la configurazione di IAM Roles Anywhere per i nodi ibridi.
Quando aggiungi il ruolo IAM Hybrid Nodes al tuo profilo, seleziona **Accetta il nome della sessione** di **ruolo personalizzato** nel pannello Nome sessione di ruolo personalizzato nella parte inferiore della pagina **Modifica profilo** nella console AWS IAM Roles Anywhere. Corrisponde al campo [acceptRoleSessionNome](https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html#rolesanywhere-CreateProfile-request-acceptRoleSessionName) dell'`CreateProfile`API. Ciò consente di fornire un nome di nodo personalizzato per i nodi ibridi nella configurazione a cui si passa durante il processo di bootstrap `nodeadm`. È necessario passare un nome di nodo personalizzato durante il processo `nodeadm init`. Puoi aggiornare il tuo profilo per accettare un nome di sessione di ruolo personalizzato dopo aver creato il tuo profilo.
Puoi configurare la durata di validità delle credenziali con AWS IAM Roles Anywhere tramite il campo [DurationSeconds](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/authentication-create-session#credentials-object) del AWS tuo profilo IAM Roles Anywhere. La durata predefinita è di 1 ora con un massimo di 12 ore. L'`MaxSessionDuration`impostazione sul tuo ruolo IAM Hybrid Nodes deve essere maggiore dell'`durationSeconds`impostazione sul tuo profilo AWS IAM Roles Anywhere. Per ulteriori informazioni`MaxSessionDuration`, consulta la [documentazione UpdateRole dell'API](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateRole.html).
I certificati e le chiavi per computer generati dalla tua autorità di certificazione (CA) devono essere inseriti nella directory `/etc/iam/pki` di ogni nodo ibrido con i nomi dei file `server.pem` per il certificato e `server.key` per la chiave.
## Creazione del ruolo IAM dei nodi ibridi
Per eseguire i passaggi di questa sezione, il principale IAM che utilizza la AWS console o la AWS CLI deve disporre delle seguenti autorizzazioni.
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:AttachRolePolicy`
+ Se si utilizza AWS IAM Roles Anywhere
+ `rolesanywhere:CreateTrustAnchor`
+ `rolesanywhere:CreateProfile`
+ `iam:PassRole`
### AWS CloudFormation
Installa e configura la AWS CLI, se non l'hai già fatto. Vedi [Installazione o aggiornamento all'ultima versione della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Passaggi per le attivazioni AWS ibride SSM**
Lo CloudFormation stack crea il ruolo IAM di Hybrid Nodes con le autorizzazioni sopra descritte. Il CloudFormation modello non crea l'attivazione ibrida AWS SSM.
1. Scarica il CloudFormation modello AWS SSM per i nodi ibridi:
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'
```
1. Creare un `cfn-ssm-parameters.json` con le seguenti opzioni:
1. Sostituisci `ROLE_NAME` con il nome del ruolo IAM dei nodi ibridi. Per impostazione predefinita, il CloudFormation modello utilizza `AmazonEKSHybridNodesRole` come nome del ruolo creato se non si specifica un nome.
1. `TAG_KEY`Sostituiscilo con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo `ssm:DeregisterManagedInstance` al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Nel modello, l'impostazione predefinita è. CloudFormation `TAG_KEY` `EKSClusterARN`
1. Sostituisci `TAG_VALUE` con il valore del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo `ssm:DeregisterManagedInstance` al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Se utilizzi l’impostazione predefinita `TAG_KEY` di `EKSClusterARN`, passa l’ARN del cluster EKS come `TAG_VALUE`. I cluster EKS hanno il formato. ARNs ` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"SSMDeregisterConditionTagKey": "TAG_KEY",
"SSMDeregisterConditionTagValue": "TAG_VALUE"
}
}
```
1. Distribuisci lo CloudFormation stack. `STACK_NAME`Sostituiscilo con il tuo nome per lo stack CloudFormation .
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ssm-cfn.yaml \
--parameter-overrides file://cfn-ssm-parameters.json \
--capabilities CAPABILITY_NAMED_IAM
```
**Passaggi per AWS IAM Roles Anywhere**
Lo CloudFormation stack crea il trust anchor di AWS IAM Roles Anywhere con l'autorità di certificazione (CA) che configuri, crea il profilo AWS IAM Roles Anywhere e crea il ruolo IAM di Hybrid Nodes con le autorizzazioni descritte in precedenza.
1. Configurazione di un’autorità di certificazione (CA)
1. Per utilizzare una risorsa CA AWS privata, apri la console Private [AWS Certificate](https://console.aws.amazon.com/acm-pca/home) Authority. Segui le istruzioni contenute in [AWS Private CA User Guide](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
1. Per utilizzare una CA esterna, segui le istruzioni fornite dalla CA. Fornisci l’ente di certificazione in una fase successiva.
1. I certificati emessi da fonti pubbliche CAs non possono essere utilizzati come ancoraggi di fiducia.
1. Scarica il CloudFormation modello AWS IAM Roles Anywhere per nodi ibridi
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'
```
1. Creare un `cfn-iamra-parameters.json` con le seguenti opzioni:
1. Sostituisci `ROLE_NAME` con il nome del ruolo IAM dei nodi ibridi. Per impostazione predefinita, il CloudFormation modello utilizza `AmazonEKSHybridNodesRole` come nome del ruolo che crea se non specifichi un nome.
1. Sostituisci `CERT_ATTRIBUTE` con l’attributo del certificato per computer che identifica in modo univoco l’host. L’attributo del certificato utilizzato deve corrispondere al nodeName utilizzato per la configurazione `nodeadm` quando si connettono i nodi ibridi al cluster. Per ulteriori informazioni, consulta [Riferimento `nodeadm` dei nodi ibridi](hybrid-nodes-nodeadm.md). Per impostazione predefinita, il CloudFormation modello utilizza `${aws:PrincipalTag/x509Subject/CN}` come`CERT_ATTRIBUTE`, che corrisponde al campo CN dei certificati per computer. In alternativa puoi passare `$(aws:PrincipalTag/x509SAN/Name/CN}` come tuo `CERT_ATTRIBUTE`.
1. Sostituisci `CA_CERT_BODY` con l’ente del certificato della tua CA senza interruzioni di riga. Il `CA_CERT_BODY` deve essere in formato Privacy-Enhanced Mail (PEM). Se disponi di un certificato CA in formato PEM, rimuovi le interruzioni di riga e le righe BEGIN CERTIFICATE e END CERTIFICATE prima di inserire l’ente del certificato CA nel file `cfn-iamra-parameters.json`.
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
"CABundleCert": "CA_CERT_BODY"
}
}
```
1. Implementa il modello. CloudFormation `STACK_NAME`Sostituiscilo con il tuo nome per lo CloudFormation stack.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ira-cfn.yaml \
--parameter-overrides file://cfn-iamra-parameters.json
--capabilities CAPABILITY_NAMED_IAM
```
### AWS CLI
Installa e configura la AWS CLI, se non l'hai già fatto. Vedi [Installazione o aggiornamento all'ultima versione della AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Crea la policy del cluster per descrivere EKS**
1. Crea un file denominato `eks-describe-cluster-policy.json` con i seguenti contenuti:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": "*"
}
]
}
```
1. Creare la policy con il seguente comando:
```
aws iam create-policy \
--policy-name EKSDescribeClusterPolicy \
--policy-document file://eks-describe-cluster-policy.json
```
**Passaggi per le attivazioni AWS ibride SSM**
1. Crea un file denominato `eks-hybrid-ssm-policy.json` con i seguenti contenuti. La policy concede l’autorizzazione per le azioni `ssm:DescribeInstanceInformation` e `ssm:DeregisterManagedInstance`. La policy limita l'`ssm:DeregisterManagedInstance`autorizzazione alle istanze gestite da AWS SSM associate all'attivazione ibrida AWS SSM in base al tag di risorsa specificato nella politica di attendibilità.
1. `AWS_REGION`Sostituiscila con la AWS regione per l'attivazione ibrida SSM AWS .
1. `AWS_ACCOUNT_ID`Sostituiscilo con l'ID AWS del tuo account.
1. `TAG_KEY`Sostituiscilo con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo `ssm:DeregisterManagedInstance` al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Nel modello, l'impostazione predefinita è. CloudFormation `TAG_KEY` `EKSClusterARN`
1. Sostituisci `TAG_VALUE` con il valore del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM. La combinazione della chiave del tag e del valore del tag viene utilizzata nella condizione di consentire solo `ssm:DeregisterManagedInstance` al ruolo IAM di Hybrid Nodes di annullare la registrazione delle istanze gestite AWS SSM associate all'attivazione ibrida SSM. AWS Se utilizzi l’impostazione predefinita `TAG_KEY` di `EKSClusterARN`, passa l’ARN del cluster EKS come `TAG_VALUE`. I cluster EKS hanno il formato. ARNs ` arn:aws: eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Creare la policy con il seguente comando
```
aws iam create-policy \
--policy-name EKSHybridSSMPolicy \
--policy-document file://eks-hybrid-ssm-policy.json
```
1. Crea un file denominato `eks-hybrid-ssm-trust.json`. Sostituiscilo `AWS_REGION` con la AWS regione dell'attivazione ibrida AWS SSM e `AWS_ACCOUNT_ID` con l'ID AWS del tuo account.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Crea il ruolo con il comando seguente.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-ssm-trust.json
```
1. Collega `EKSDescribeClusterPolicy` e `EKSHybridSSMPolicy` che hai creato nei passaggi precedenti. `AWS_ACCOUNT_ID`Sostituiscilo con l'ID AWS del tuo account.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy
```
1. Allega le politiche `AmazonEC2ContainerRegistryPullOnly` e `AmazonSSMManagedInstanceCore` AWS gestisci.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Passaggi per AWS IAM Roles Anywhere**
Per utilizzare AWS IAM Roles Anywhere, devi configurare il tuo trust anchor AWS IAM Roles Anywhere prima di creare il ruolo IAM di Hybrid Nodes. Per istruzioni, consulta [Configura AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere).
1. Crea un file denominato `eks-hybrid-iamra-trust.json`. Sostituisci `TRUST_ANCHOR ARN` con l’ARN dell’ancora di fiducia che hai creato nei passaggi [Configura AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere). La condizione contenuta in questa policy di fiducia limita la capacità di AWS IAM Roles Anywhere di assumere il ruolo IAM di Hybrid Nodes per lo scambio di credenziali IAM temporanee solo quando il nome della sessione di ruolo corrisponde al CN nel certificato x509 installato sui nodi ibridi. In alternativa, puoi utilizzare altri attributi del certificato per identificare in modo univoco il tuo nodo. L’attributo del certificato che usi nella policy di fiducia deve corrispondere a `nodeName` che hai impostato nella configurazione `nodeadm`. Per ulteriori informazioni, consulta [Riferimento `nodeadm` dei nodi ibridi](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Crea il ruolo con il comando seguente.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-iamra-trust.json
```
1. Collega la `EKSDescribeClusterPolicy` che hai creato nei passaggi precedenti. Sostituiscilo `AWS_ACCOUNT_ID` con l'ID del tuo account. AWS
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
1. Allega la politica `AmazonEC2ContainerRegistryPullOnly` AWS gestita
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
### Console di gestione AWS
**Crea la policy del cluster per descrivere EKS**
1. Apri la [console Amazon IAM](https://console.aws.amazon.com/iam/home)
1. Nel pannello di navigazione a sinistra, seleziona **Policy**.
1. Nella pagina **Policy**, scegli **Crea policy**.
1. Nella pagina Specifica le autorizzazioni, in Seleziona un pannello di servizio scegli EKS.
1. Filtra le azioni **DescribeCluster**e seleziona l'azione **DescribeCluster**Leggi.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Verifica e crea**
1. Immetti un **Nome policy** per la tua policy, come `EKSDescribeClusterPolicy`.
1. Scegli **Crea policy**.
**Passaggi per le attivazioni ibride AWS SSM**
1. Apri la [console Amazon IAM](https://console.aws.amazon.com/iam/home)
1. Nel pannello di navigazione a sinistra, seleziona **Policy**.
1. Nella pagina **Policy**, scegli **Crea policy**.
1. Nella pagina **Specifica autorizzazioni**, nella barra di navigazione in alto a destra **Editor della policy**, scegli **JSON**. Incollare il frammento seguente. `AWS_REGION`Sostituiscila con la AWS regione dell'attivazione ibrida AWS SSM e sostituiscila `AWS_ACCOUNT_ID` con l'ID del tuo AWS account. Sostituisci `TAG_KEY` e `TAG_VALUE` con la chiave del tag di risorsa AWS SSM che hai usato durante la creazione dell'attivazione ibrida AWS SSM.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Scegli **Next (Successivo)**.
1. Nella pagina **Verifica e crea**
1. Immetti un nome **Policy** per la tua policy, come `EKSHybridSSMPolicy`.
1. Scegli **Crea policy**.
1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.
1. Nella pagina **Ruoli**, seleziona **Crea ruolo**.
1. Nella pagina **Seleziona un’entità attendibile**, esegui le operazioni seguenti:
1. Nel sezione **Tipo di entità attendibile**, scegli **Policy di attendibilità personalizzata**. Incolla quanto segue nell’editor della policy di attendibilità personalizzata. `AWS_REGION`Sostituiscilo con la AWS regione dell'attivazione ibrida AWS SSM e `AWS_ACCOUNT_ID` con l'ID del tuo AWS account.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Scegli Next (Successivo).
1. Nella pagina **Aggiungi autorizzazioni**, collega una policy personalizzata o esegui le operazioni seguenti:
1. Nella casella **Filtra policy**, inserisci `EKSDescribeClusterPolicy` o il nome della policy creata in precedenza. Seleziona la casella di controllo a sinistra il nome della policy nei risultati della ricerca.
1. Nella casella **Filtra policy**, inserisci `EKSHybridSSMPolicy` o il nome della policy creata in precedenza. Seleziona la casella di controllo a sinistra il nome della policy nei risultati della ricerca.
1. Nella casella **Filtra policy**, inserisci `AmazonEC2ContainerRegistryPullOnly`. Seleziona la casella di controllo a sinistra di `AmazonEC2ContainerRegistryPullOnly` nei risultati di ricerca.
1. Nella casella **Filtra policy**, inserisci `AmazonSSMManagedInstanceCore`. Seleziona la casella di controllo a sinistra della `AmazonSSMManagedInstanceCore` nei risultati di ricerca.
1. Scegli **Successivo**.
1. Nella pagina **Name, review, and create** (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:
1. Per **Nome ruolo**, inserisci un nome univoco per il ruolo, ad esempio `AmazonEKSHybridNodesRole`.
1. Per **Description** (Descrizione), sostituisci il testo corrente con un testo descrittivo come `Amazon EKS - Hybrid Nodes role`.
1. Scegli **Crea ruolo**.
**Passaggi per AWS IAM Roles Anywhere**
Per utilizzare AWS IAM Roles Anywhere, devi configurare il tuo trust anchor AWS IAM Roles Anywhere prima di creare il ruolo IAM di Hybrid Nodes. Per istruzioni, consulta [Configura AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere).
1. Apri la [console Amazon IAM](https://console.aws.amazon.com/iam/home)
1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.
1. Nella pagina **Ruoli**, seleziona **Crea ruolo**.
1. Nella pagina **Seleziona un’entità attendibile**, esegui le operazioni seguenti:
1. Nel sezione **Tipo di entità attendibile**, scegli **Policy di attendibilità personalizzata**. Incolla quanto segue nell’editor della policy di attendibilità personalizzata. Sostituisci `TRUST_ANCHOR ARN` con l’ARN dell’ancora di fiducia che hai creato nei passaggi [Configura AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere). La condizione contenuta in questa policy di fiducia limita la capacità di AWS IAM Roles Anywhere di assumere il ruolo IAM di Hybrid Nodes per lo scambio di credenziali IAM temporanee solo quando il nome della sessione di ruolo corrisponde al CN nel certificato x509 installato sui nodi ibridi. In alternativa, puoi utilizzare altri attributi del certificato per identificare in modo univoco il tuo nodo. L’attributo del certificato che usi nella policy di fiducia deve corrispondere al nodeName che hai impostato nella configurazione bideadm. Per ulteriori informazioni, consulta [Riferimento `nodeadm` dei nodi ibridi](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Scegli Next (Successivo).
1. Nella pagina **Aggiungi autorizzazioni**, collega una policy personalizzata o esegui le operazioni seguenti:
1. Nella casella **Filtra policy**, inserisci `EKSDescribeClusterPolicy` o il nome della policy creata in precedenza. Seleziona la casella di controllo a sinistra il nome della policy nei risultati della ricerca.
1. Nella casella **Filtra policy**, inserisci `AmazonEC2ContainerRegistryPullOnly`. Seleziona la casella di controllo a sinistra della `AmazonEC2ContainerRegistryPullOnly` nei risultati di ricerca.
1. Scegli **Successivo**.
1. Nella pagina **Name, review, and create** (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:
1. Per **Nome ruolo**, inserisci un nome univoco per il ruolo, ad esempio `AmazonEKSHybridNodesRole`.
1. Per **Description** (Descrizione), sostituisci il testo corrente con un testo descrittivo come `Amazon EKS - Hybrid Nodes role`.
1. Scegli **Crea ruolo**.