Contribuisci a migliorare questa pagina
Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.
Ruolo IAM di esecuzione del pod di Amazon EKS
Il ruolo di esecuzione del pod Amazon EKS è necessario per eseguire i pod sull’infrastruttura AWS Fargate.
Quando il cluster crea pod sull’infrastruttura di AWS Fargate, i componenti in esecuzione sull’infrastruttura Fargate devono effettuare chiamate ad AWS API per conto dell’utente. In questo modo possono eseguire operazioni come estrarre le immagini container da Amazon ECR o instradare i log ad altri servizi AWS. Il ruolo di esecuzione del pod Amazon EKS fornisce le autorizzazioni IAM per eseguire questa operazione.
Quando si crea un profilo Fargate, è necessario specificare un ruolo di esecuzione del pod per i componenti Amazon EKS che vengono eseguiti su infrastruttura Fargate utilizzando il profilo. Questo ruolo è aggiunto al controllo di accesso basato sul ruolokubelet in esecuzione sull’infrastruttura Fargate di registrarsi con il cluster Amazon EKS in modo che possa essere visualizzato nel cluster come nodo.
Nota
Il profilo Fargate deve avere un ruolo IAM diverso dai gruppi di nodi Amazon EC2.
Importante
I container in esecuzione nel pod Fargate non possono assumere le autorizzazioni IAM associate a un ruolo di esecuzione del pod. Per concedere ai container nelle autorizzazioni dei pod Fargate per accedere ad altri servizi AWS, è necessario utilizzare ruoli IAM per gli account di servizio.
Prima di creare un profilo Fargate, è necessario creare un ruolo IAM con AmazonEKSFargatePodExecutionRolePolicy.
Verificare la presenza di un ruolo di esecuzione del pod esistente configurato correttamente
Per verificare se l’account dispone già di un ruolo di esecuzione del pod Amazon EKS configurato correttamente, utilizzare la procedura indicata di seguito. Per prevenire il problema di sicurezza di un delegato confuso, è importante che il ruolo limiti l’accesso in base a SourceArn. È possibile modificare il ruolo di esecuzione secondo necessità per includere il supporto per i profili Fargate su altri cluster.
-
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Nella pagina Roles (Ruoli), cerca la voce AmazonEKSFargatePodExecutionRole nell'elenco dei ruoli. Se il ruolo non esiste, consulta Creazione del ruolo di esecuzione del pod Amazon EKS per crearlo. Se il ruolo è presente, selezionalo.
-
Nella pagina AmazonEKSFargatePodExecutionRole, esegui la procedura seguente:
-
Seleziona Permissions (Autorizzazioni).
-
Verifica che la policy gestita da Amazon AmazonEKSFargatePodExecutionRolePolicy sia allegata al ruolo.
-
Scegli Trust relationships (Relazioni di trust).
-
Seleziona Edit trust policy (Modifica policy di attendibilità).
-
-
Nella pagina Edit trust policy (Modifica policy di attendibilità), verifica che la relazione di attendibilità contenga la policy seguente e una riga per i profili Fargate nel cluster. In tal caso, scegli Cancel (Annulla).
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }Se la policy corrisponde ma non contiene una riga che specifica i profili Fargate sul cluster, aggiungi la riga riportata di seguito nella parte superiore dell’oggetto
ArnLike. Sostituiscicodice regionecon la regione AWS in cui è il cluster,111122223333con l’ID del tuo account emy-clustercon il nome del cluster."aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*",Se la policy non corrisponde, copia la policy precedente nel modulo e scegli Update policy (Aggiorna policy). Sostituisci
codice regionecon la Regione AWS in cui si trova il cluster. Se si desidera utilizzare lo stesso ruolo in tutte le regioni AWS dell’account, sostituiscicodice regionecon*. Sostituisci111122223333con l’ID del tuo account emy-clustercon il nome del cluster. Se si desidera utilizzare lo stesso ruolo per tutti i cluster dell’account, sostituiscimy-clustercon*.
Creazione del ruolo di esecuzione del pod Amazon EKS
Se non disponi ancora di un ruolo di esecuzione del pod Amazon EKS per il cluster, puoi utilizzare Console di gestione AWS o AWS CLI per crearlo.
- Console di gestione AWS
-
-
Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione a sinistra, seleziona Ruoli.
-
Nella pagina Ruoli, seleziona Crea ruolo.
-
Nella pagina Seleziona un'entità attendibile, esegui le operazioni seguenti:
-
Nella sezione Tipo di entità attendibile, scegli Servizio AWS.
-
Nell’elenco a discesa Casi d’uso per altri servizi AWS, scegli EKS.
-
Scegli EKS - Pod Fargate.
-
Scegli Next (Successivo).
-
-
Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).
-
Nella pagina Name, review, and create (Assegna un nome, rivedi e crea), esegui le operazioni seguenti:
-
Per Role name (Nome ruolo), inserisci un nome univoco per il ruolo, ad esempio
AmazonEKSFargatePodExecutionRole. -
In Aggiungi tag (facoltativo), aggiungi metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo di tag in IAM, consulta la sezione Applicazione di tag alle risorse IAM nella Guida per l'utente di IAM.
-
Scegli Crea ruolo.
-
-
Nella pagina Roles (Ruoli), cerca la voce AmazonEKSFargatePodExecutionRole nell'elenco dei ruoli. Seleziona il ruolo.
-
Nella pagina AmazonEKSFargatePodExecutionRole, esegui la procedura seguente:
-
Scegli Trust relationships (Relazioni di trust).
-
Seleziona Edit trust policy (Modifica policy di attendibilità).
-
-
Nella pagina Modifica policy di attendibilità, effettua le operazioni seguenti:
-
Copia e incolla il contenuto seguente nel modello Modifica policy di attendibilità. Sostituisci
codice regionecon la regione AWS in cui si trova il cluster. Se si desidera utilizzare lo stesso ruolo in tutte le regioni AWS dell’account, sostituiscicodice regionecon*. Sostituisci111122223333con l’ID del tuo account emy-clustercon il nome del cluster. Se si desidera utilizzare lo stesso ruolo per tutti i cluster dell’account, sostituiscimy-clustercon*.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Scegli Aggiorna policy.
-
-
- CLI AWS
-
-
Copia e incolla il contenuto seguente in un file denominato
pod-execution-role-trust-policy.json. Sostituiscicodice regionecon la regione AWS in cui si trova il cluster. Se si desidera utilizzare lo stesso ruolo in tutte le regioni AWS dell’account, sostituiscicodice regionecon*. Sostituisci111122223333con l’ID del tuo account emy-clustercon il nome del cluster. Se si desidera utilizzare lo stesso ruolo per tutti i cluster dell’account, sostituiscimy-clustercon*.{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
Creare un ruolo IAM di esecuzione del pod.
aws iam create-role \ --role-name AmazonEKSFargatePodExecutionRole \ --assume-role-policy-document file://"pod-execution-role-trust-policy.json" -
Allegare la policy IAM gestita da Amazon EKS richiesta al ruolo.
aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \ --role-name AmazonEKSFargatePodExecutionRole
-
