**Ajudar a melhorar esta página**
Para contribuir com este guia de usuário, escolha o link **Editar esta página no GitHub**, disponível no painel direito de cada página.
# Preparar as credenciais para nós híbridos
O Amazon EKS Hybrid Nodes usa credenciais temporárias do IAM provisionadas por ativações híbridas do AWS SSM ou pelo AWS IAM Roles Anywhere para se autenticar com o cluster do Amazon EKS. É necessário usar as ativações híbridas do AWS SSM ou o AWS IAM Roles Anywhere com a CLI do Amazon EKS Hybrid Nodes (`nodeadm`). Você não deve usar as ativações híbridas do AWS SSM e o AWS IAM Roles Anywhere juntos. Recomendamos usar as ativações híbridas do AWS SSM caso não tenha uma infraestrutura de chave pública (PKI) existente com uma Certificate Authority (CA) e certificados para seus ambientes on-premises. Se você já tem uma PKI e certificados on-premises, use o AWS IAM Roles Anywhere.
## Perfil do IAM para nós híbridos
Antes de poder conectar nós híbridos ao cluster do Amazon EKS, é necessário criar um perfil do IAM que será usado com as ativações híbridas do AWS SSM ou o AWS IAM Roles Anywhere para as credenciais dos nós híbridos. Após a criação do cluster, você usará esse perfil com uma entrada de acesso do Amazon EKS ou uma entrada do ConfigMap `aws-auth` para mapear o perfil do IAM para o controle de acesso por perfil (RBAC) do Kubernetes. Para obter mais informações sobre como associar o perfil do IAM de nós híbridos ao RBAC do Kubernetes, consulte [Preparar o acesso ao cluster para nós híbridos](hybrid-nodes-cluster-prep.md).
O perfil do IAM de nós híbridos deve ter as permissões a seguir.
+ Permissões para o `nodeadm` usar a ação `eks:DescribeCluster` a fim de obter informações sobre o cluster ao qual você deseja conectar os nós híbridos. Se você não habilitar a ação `eks:DescribeCluster`, será necessário informar o endpoint da API do Kubernetes, o pacote da CA do cluster e o intervalo CIDR IPv4 do serviço na configuração do nó que você transmite para o comando `nodeadm init`.
+ Permissões para o `nodeadm` usar a ação `eks:ListAccessEntries` a fim de listar as entradas de acesso no cluster ao qual você deseja conectar os nós híbridos. Se você não habilitar a ação `eks:ListAccessEntries`, será necessário fornecer o sinalizador `--skip cluster-access-validation` ao executar o comando `nodeadm init`.
+ Permissões para que o kubelet use imagens de contêiner do Amazon Elastic Container Registry (Amazon ECR), conforme definido pela política [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEC2ContainerRegistryPullOnly.html).
+ Se estiver usando AWS SSM, permissões `nodeadm init` para usar ativações híbridas do AWS SSM conforme definido na política [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSSMManagedInstanceCore.html).
+ Caso esteja usando o AWS SSM, as permissões para usar a ação `ssm:DeregisterManagedInstance` e a ação `ssm:DescribeInstanceInformation` para `nodeadm uninstall` cancelar o registro de instâncias.
+ (Opcional) Permissões para que o Amazon EKS Pod Identity Agent use a ação `eks-auth:AssumeRoleForPodIdentity` para recuperar credenciais para pods.
## Configurar ativações híbridas do AWS SSM
Antes de configurar as ativações híbridas do AWS SSM, é necessário ter um perfil do IAM de nós híbridos criado e configurado. Para obter mais informações, consulte [Criar o perfil do IAM de nós híbridos](#hybrid-nodes-create-role). Siga as instruções em [Criar uma ativação híbrida para registrar nós no Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) no Guia do usuário do AWS Systems Manager para criar uma ativação híbrida do AWS SSM para os nós híbridos. O ID e o código de ativação que você recebe são usados com `nodeadm` quando você registra os hosts como nós híbridos com o cluster do Amazon EKS. É possível voltar a esta etapa posteriormente depois de criar e preparar os clusters do Amazon EKS para nós híbridos.
**Importante**
O Systems Manager retorna imediatamente o ID e o código de ativação para o console ou a janela de comando, dependendo de como você criou a ativação. Copie essas informações e armazene-as em um local seguro. Se você sair do console ou fechar a janela de comando, poderá perder essas informações. Se perdê-las, será necessário criar outra ativação.
Por padrão, as ativações híbridas do AWS SSM ficam ativas por 24 horas. Como alternativa, você pode especificar uma `--expiration-date` ao criar a ativação híbrida no formato de carimbo de data e hora, como `2024-08-01T00:00:00`. Quando você usa o AWS SSM como o provedor de credenciais, o nome do nó para os nós híbridos não é configurável e é gerado automaticamente pelo AWS SSM. É possível visualizar e gerenciar as instâncias gerenciadas pelo AWS SSM no console do AWS Systems Manager em Fleet Manager. É possível registrar até mil [nós padrão ativados para ambiente híbrido](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) por conta por região da AWS sem custo adicional. No entanto, para registrar mais de 1.000 nós híbridos, você precisa ativar o nível de instâncias avançadas. Há uma cobrança para o uso do nível de instâncias avançadas que não está incluída nos [preços do Amazon EKS Hybrid Nodes](https://aws.amazon.com/eks/pricing/). Para obter mais informações, consulte [Preços do AWS Systems Manager](https://aws.amazon.com/systems-manager/pricing/).
Veja o exemplo abaixo para saber como criar uma ativação híbrida do AWS SSM com o perfil do IAM de nós híbridos. Quando você usa ativações híbridas do AWS SSM para as credenciais de nós híbridos, os nomes dos nós híbridos terão o formato `mi-012345678abcdefgh` e as credenciais temporárias provisionadas pelo AWS SSM serão válidas por uma hora. Você não pode alterar o nome do nó ou a duração da credencial ao usar o AWS SSM como seu provedor de credenciais. As credenciais temporárias são rotacionadas automaticamente pelo AWS SSM, e a rotação não afeta o status dos nós ou das aplicações.
Recomendamos usar uma ativação híbrida do AWS SSM por cluster de EKS para definir o escopo da permissão `ssm:DeregisterManagedInstance` do AWS SSM do perfil do IAM de nós híbridos para somente poder cancelar o registro de instâncias associadas à ativação híbrida do AWS SSM. No exemplo desta página, é usada uma tag com o ARN do cluster de EKS, que pode ser usada para mapear a ativação híbrida do AWS SSM para o cluster de EKS. Como alternativa, você pode usar a tag e o método de preferência para definir o escopo das permissões do AWS SSM com base nos requisitos e limites de permissões. A opção `REGISTRATION_LIMIT` no comando abaixo é um número inteiro usado para limitar o número de máquinas que podem usar a ativação híbrida do AWS SSM (por exemplo, `10`)
```
aws ssm create-activation \
--region AWS_REGION \
--default-instance-name eks-hybrid-nodes \
--description "Activation for EKS hybrid nodes" \
--iam-role AmazonEKSHybridNodesRole \
--tags Key=EKSClusterARN,Value=arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME \
--registration-limit REGISTRATION_LIMIT
```
Consulte as instruções em [Criar uma ativação híbrida para registrar nós no Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/hybrid-activation-managed-nodes.html) para obter mais informações sobre as configurações disponíveis para ativações híbridas do AWS SSM.
## Configurar o AWS IAM Roles Anywhere
Siga as instruções em [Getting started with IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/getting-started.html) no Guia do usuário do IAM Roles Anywhere para configurar a âncora de confiança e o usuário que você usará para as credenciais temporárias do IAM para o perfil do IAM de nós híbridos. Ao criar seu usuário, será possível criá-lo sem adicionar nenhum perfil. É possível criar o usuário, retornar a essas etapas para criar o perfil do IAM de nós híbridos e, em seguida, adicionar o perfil ao seu usuário após a criação. Como alternativa, você pode usar as etapas do AWS CloudFormation mais adiante nesta página para concluir a configuração do IAM Roles Anywhere para nós híbridos.
Ao adicionar o perfil do IAM de nós híbridos ao seu usuário, selecione **Aceitar nome da sessão do perfil personalizado** no painel do nome da sessão **Perfil personalizado** na parte inferior da página **Editar usuário** no console do AWS IAM Roles Anywhere. Isso corresponde ao campo [acceptRoleSessionName](https://docs.aws.amazon.com/rolesanywhere/latest/APIReference/API_CreateProfile.html#rolesanywhere-CreateProfile-request-acceptRoleSessionName) da API `CreateProfile`. Isso permite que você forneça um nome de nó personalizado para os nós híbridos na configuração que você passa para `nodeadm` durante o processo de bootstrap. É necessário passar um nome de nó personalizado durante o processo de `nodeadm init`. É possível atualizar seu usuário para aceitar um nome de sessão de usuário personalizado depois de criá-lo.
É possível configurar a duração da validade da credencial com o AWS IAM Roles Anywhere por meio do campo [durationSeconds](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/authentication-create-session#credentials-object) do seu perfil do AWS IAM Roles Anywhere. A duração padrão é de uma hora, com um máximo de 12 horas. A configuração de `MaxSessionDuration` no perfil do IAM de nós híbridos deve ser maior do que a configuração de `durationSeconds` no seu usuário do AWS IAM Roles Anywhere. Para obter mais informações sobre `MaxSessionDuration`, consulte a [documentação da API UpdateRole](https://docs.aws.amazon.com/systems-manager/latest/APIReference/API_UpdateRole.html).
Os certificados e as chaves por máquina que você gera da autoridade de certificação (CA) devem ser colocados no diretório `/etc/iam/pki` em cada nó híbrido com os nomes de arquivo `server.pem` para o certificado e `server.key` para a chave.
## Criar o perfil do IAM de nós híbridos
Para executar as etapas desta seção, a entidade principal do IAM que usa o Console da AWS ou a AWS CLI deve ter as permissões a seguir.
+ `iam:CreatePolicy`
+ `iam:CreateRole`
+ `iam:AttachRolePolicy`
+ Se estiver usando o AWS IAM Roles Anywhere
+ `rolesanywhere:CreateTrustAnchor`
+ `rolesanywhere:CreateProfile`
+ `iam:PassRole`
### AWS CloudFormation
Instale e configure a AWS CLI, caso ainda não o tenha feito. Consulte [Installing or updating to the last version of the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Etapas para as ativações híbridas do AWS SSM**
A pilha do CloudFormation cria o perfil do IAM de nós híbridos com as permissões descritas acima. O modelo do CloudFormation não cria a ativação híbrida do AWS SSM.
1. Faça download do modelo do CloudFormation do AWS SSM para nós híbridos:
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ssm-cfn.yaml'
```
1. Crie um `cfn-ssm-parameters.json` com as seguintes opções:
1. Substitua `ROLE_NAME` pelo nome do perfil do IAM de nós híbridos. Por padrão, o modelo do CloudFormation usa o `AmazonEKSHybridNodesRole` como nome do perfil que ele cria, caso você não especifique um nome.
1. Substitua `TAG_KEY` pela chave de tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de `ssm:DeregisterManagedInstance` para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. No modelo do CloudFormation, `TAG_KEY` é definido como `EKSClusterARN`.
1. Substitua `TAG_VALUE` pelo valor da tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de `ssm:DeregisterManagedInstance` para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. Caso esteja usando o padrão `TAG_KEY` de `EKSClusterARN`, passe o ARN do cluster de EKS como `TAG_VALUE`. Os ARNs dos clusters de EKS têm o formato ` arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`.
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"SSMDeregisterConditionTagKey": "TAG_KEY",
"SSMDeregisterConditionTagValue": "TAG_VALUE"
}
}
```
1. Implante a pilha do CloudFormation. Substitua `STACK_NAME` pelo nome da pilha do CloudFormation.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ssm-cfn.yaml \
--parameter-overrides file://cfn-ssm-parameters.json \
--capabilities CAPABILITY_NAMED_IAM
```
**Etapas do AWS IAM Roles Anywhere**
A pilha do CloudFormation cria a âncora de confiança do AWS IAM Roles Anywhere com a autoridade de certificação (CA) que você configura, cria o usuário do AWS IAM Roles Anywhere e cria o perfil do IAM de nós híbridos com as permissões descritas anteriormente.
1. Para configurar uma autoridade de certificação (CA)
1. Para usar um recurso do AWS Private CA, abra o [console do AWS Private Certificate Authority](https://console.aws.amazon.com/acm-pca/home). Siga as instruções no [Guia do usuário do AWS Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html).
1. Para usar uma CA externa, siga as instruções fornecidas pela CA. Você fornece o corpo do certificado em uma etapa posterior.
1. Os certificados emitidos por CAs públicas não podem ser usados como âncoras de confiança.
1. Fazer download do modelo do CloudFormation do AWS IAM Roles Anywhere para nós híbridos
```
curl -OL 'https://raw.githubusercontent.com/aws/eks-hybrid/refs/heads/main/example/hybrid-ira-cfn.yaml'
```
1. Crie um `cfn-iamra-parameters.json` com as seguintes opções:
1. Substitua `ROLE_NAME` pelo nome do perfil do IAM de nós híbridos. Por padrão, o modelo do CloudFormation usa o `AmazonEKSHybridNodesRole` como nome do perfil que ele cria, caso você não especifique um nome.
1. Substitua `CERT_ATTRIBUTE` pelo atributo de certificado por máquina que identifica exclusivamente o host. O atributo de certificado que você usa deve corresponder ao nodeName que você usa para a configuração de `nodeadm` ao conectar nós híbridos ao cluster. Para obter mais informações, consulte a [Referência do `nodeadm` para nós híbridos](hybrid-nodes-nodeadm.md). Por padrão, o modelo do CloudFormation usa `${aws:PrincipalTag/x509Subject/CN}` como `CERT_ATTRIBUTE`, o que corresponde ao campo CN dos certificados por máquina. Como alternativa, você pode passar `$(aws:PrincipalTag/x509SAN/Name/CN}` como `CERT_ATTRIBUTE`.
1. Substitua `CA_CERT_BODY` pelo corpo do certificado da CA sem quebras de linha. `CA_CERT_BODY` deve estar no formato Privacy Enhanced Mail (PEM). Se você tiver um certificado CA no formato PEM, remova as quebras de linha e as linhas BEGIN CERTIFICATE e END CERTIFICATE antes de colocar o corpo do certificado CA no arquivo `cfn-iamra-parameters.json`.
```
{
"Parameters": {
"RoleName": "ROLE_NAME",
"CertAttributeTrustPolicy": "CERT_ATTRIBUTE",
"CABundleCert": "CA_CERT_BODY"
}
}
```
1. Implemente o modelo do CloudFormation Substitua `STACK_NAME` pelo nome da pilha do CloudFormation.
```
aws cloudformation deploy \
--stack-name STACK_NAME \
--template-file hybrid-ira-cfn.yaml \
--parameter-overrides file://cfn-iamra-parameters.json
--capabilities CAPABILITY_NAMED_IAM
```
### AWS CLI
Instale e configure a AWS CLI, caso ainda não o tenha feito. Consulte [Installing or updating to the last version of the AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html).
**Criar política de descrição de cluster de EKS**
1. Crie um arquivo denominado `eks-describe-cluster-policy.json` com o conteúdo a seguir:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:DescribeCluster"
],
"Resource": "*"
}
]
}
```
1. Crie a política com o seguinte comando:
```
aws iam create-policy \
--policy-name EKSDescribeClusterPolicy \
--policy-document file://eks-describe-cluster-policy.json
```
**Etapas para as ativações híbridas do AWS SSM**
1. Crie um arquivo denominado `eks-hybrid-ssm-policy.json` com os conteúdos a seguir. A política concede permissão para duas ações: `ssm:DescribeInstanceInformation` e `ssm:DeregisterManagedInstance`. A política restringe a permissão `ssm:DeregisterManagedInstance` às instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM com base na tag de recurso que você especifica na política de confiança.
1. Substitua `AWS_REGION` pela região da AWS da ativação híbrida do AWS SSM.
1. Substitua `AWS_ACCOUNT_ID` pelo ID de sua conta da AWS.
1. Substitua `TAG_KEY` pela chave de tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de `ssm:DeregisterManagedInstance` para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. No modelo do CloudFormation, `TAG_KEY` é definido como `EKSClusterARN`.
1. Substitua `TAG_VALUE` pelo valor da tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM. A combinação da chave e do valor da tag é usada na condição de `ssm:DeregisterManagedInstance` para permitir que somente o perfil do IAM de nós híbridos cancele o registro das instâncias gerenciadas pelo AWS SSM associadas à ativação híbrida do AWS SSM. Caso esteja usando o padrão `TAG_KEY` de `EKSClusterARN`, passe o ARN do cluster de EKS como `TAG_VALUE`. Os ARNs dos clusters de EKS têm o formato ` arn:aws:eks:AWS_REGION:AWS_ACCOUNT_ID:cluster/CLUSTER_NAME`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Crie a política com o comando a seguir.
```
aws iam create-policy \
--policy-name EKSHybridSSMPolicy \
--policy-document file://eks-hybrid-ssm-policy.json
```
1. Crie um arquivo chamado `eks-hybrid-ssm-trust.json`. Substitua `AWS_REGION` pela região da AWS da ativação híbrida do AWS SSM e `AWS_ACCOUNT_ID` pelo ID da conta da AWS.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Crie o perfil com o comando a seguir.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-ssm-trust.json
```
1. Anexe as políticas `EKSDescribeClusterPolicy` e `EKSHybridSSMPolicy` que você criou nas etapas anteriores. Substitua `AWS_ACCOUNT_ID` pelo ID de sua conta da AWS.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSHybridSSMPolicy
```
1. Anexe as políticas `AmazonEC2ContainerRegistryPullOnly` e `AmazonSSMManagedInstanceCore` gerenciadas pela AWS.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
```
**Etapas do AWS IAM Roles Anywhere**
Para usar o AWS IAM Roles Anywhere, é necessário configurar a âncora de confiança do AWS IAM Roles Anywhere antes de criar o perfil do IAM de nós híbridos. Para obter instruções, consulte [Configurar o AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere).
1. Crie um arquivo chamado `eks-hybrid-iamra-trust.json`. Substitua `TRUST_ANCHOR ARN` pelo ARN da âncora de confiança criada nas etapas de [Configurar o AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere). A condição nessa política de confiança restringe a capacidade do AWS IAM Roles Anywhere de assumir o perfil do IAM de nós híbridos para trocar as credenciais temporárias do IAM somente quando o nome da sessão do perfil corresponder ao CN no certificado x509 instalado nos nós híbridos. Como alternativa, você pode usar outros atributos de certificado para identificar o nó de forma exclusiva. O atributo do certificado que você usa na política de confiança deve corresponder ao `nodeName` que você definiu na configuração de `nodeadm`. Para obter mais informações, consulte a [Referência do `nodeadm` para nós híbridos](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Crie o perfil com o comando a seguir.
```
aws iam create-role \
--role-name AmazonEKSHybridNodesRole \
--assume-role-policy-document file://eks-hybrid-iamra-trust.json
```
1. Anexe a política `EKSDescribeClusterPolicy` que você criou nas etapas anteriores. Substitua `AWS_ACCOUNT_ID` pelo ID de sua conta da AWS.
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws:iam::AWS_ACCOUNT_ID:policy/EKSDescribeClusterPolicy
```
1. Anexar a política `AmazonEC2ContainerRegistryPullOnly` gerenciada pela AWS
```
aws iam attach-role-policy \
--role-name AmazonEKSHybridNodesRole \
--policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```
### Console de gerenciamento da AWS
**Criar política de descrição de cluster de EKS**
1. Abra o [console do Amazon IAM](https://console.aws.amazon.com/iam/home).
1. No painel de navegação à esquerda, escolha **Políticas**.
1. Na página **Políticas**, escolha **Criar política**.
1. Na página Especificar permissões, no painel Selecionar um serviço, escolha EKS.
1. Filtre as ações de **DescribeCluster** e selecione a ação de leitura **DescribeCluster**.
1. Escolha **Próximo**.
1. Na página **Analisar e criar**
1. Insira um **Nome de política** para a política, como `EKSDescribeClusterPolicy`.
1. Escolha **Criar política**.
**Etapas para as ativações híbridas do AWS SSM**
1. Abra o [console do Amazon IAM](https://console.aws.amazon.com/iam/home).
1. No painel de navegação à esquerda, escolha **Políticas**.
1. Na página **Políticas**, escolha **Criar política**.
1. Na página **Especificar permissões**, no **Editor de políticas** na parte superior direita da navegação, escolha **JSON**. Cole o trecho a seguir. Substitua `AWS_REGION` pela região da AWS da ativação híbrida do AWS SSM e substitua `AWS_ACCOUNT_ID` pelo ID da conta da AWS. Substitua `TAG_KEY` e `TAG_VALUE` pela chave de tag de recurso do AWS SSM que você usou ao criar a ativação híbrida do AWS SSM.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ssm:DescribeInstanceInformation",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:DeregisterManagedInstance",
"Resource": "arn:aws:ssm:us-east-1:123456789012:managed-instance/*",
"Condition": {
"StringEquals": {
"ssm:resourceTag/TAG_KEY": "TAG_VALUE"
}
}
}
]
}
```
1. Escolha **Próximo**.
1. Na página **Analisar e criar**.
1. Insira um nome de **Política** para a política, como `EKSHybridSSMPolicy`.
1. Escolha **Create Policy**.
1. No painel de navegação à esquerda, selecione **Perfis**.
1. Na página **Perfis**, selecione **Criar perfil**.
1. Na página **Selecionar entidade confiável**, faça o seguinte:
1. Na **Seção do tipo de entidade confiável**, escolha **Política de confiança personalizada**. Cole o indicado abaixo no editor de políticas de confiança personalizadas. Substitua `AWS_REGION` pela região da AWS da ativação híbrida do AWS SSM e `AWS_ACCOUNT_ID` pelo ID da conta da AWS.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"",
"Effect":"Allow",
"Principal":{
"Service":"ssm.amazonaws.com"
},
"Action":"sts:AssumeRole",
"Condition":{
"StringEquals":{
"aws:SourceAccount":"123456789012"
},
"ArnEquals":{
"aws:SourceArn":"arn:aws:ssm:us-east-1:123456789012:*"
}
}
}
]
}
```
1. Escolha Next (Próximo).
1. Na página **Add permissions (Adicionar permissões)**, faça o seguinte:
1. Na caixa **Filtrar políticas**, insira `EKSDescribeClusterPolicy` ou o nome da política que você criou acima. Marque a caixa de seleção à esquerda do nome da política nos resultados da pesquisa.
1. Na caixa **Filtrar políticas**, insira `EKSHybridSSMPolicy` ou o nome da política que você criou acima. Marque a caixa de seleção à esquerda do nome da política nos resultados da pesquisa.
1. Na caixa **Filtrar políticas** insira `AmazonEC2ContainerRegistryPullOnly`. Marque a caixa de seleção à esquerda de `AmazonEC2ContainerRegistryPullOnly` nos resultados da pesquisa.
1. Na caixa **Filtrar políticas** insira `AmazonSSMManagedInstanceCore`. Marque a caixa de seleção à esquerda de `AmazonSSMManagedInstanceCore` nos resultados da pesquisa.
1. Escolha **Próximo**.
1. Na página **Name, review, and create** (Nomear, revisar e criar), faça o seguinte:
1. Em **Nome do perfil**, insira um nome exclusivo para o perfil, como `AmazonEKSHybridNodesRole`.
1. Em **Description** (Descrição), substitua o texto atual por um texto descritivo como `Amazon EKS - Hybrid Nodes role`.
1. Selecione **Criar perfil**.
**Etapas do AWS IAM Roles Anywhere**
Para usar o AWS IAM Roles Anywhere, é necessário configurar a âncora de confiança do AWS IAM Roles Anywhere antes de criar o perfil do IAM de nós híbridos. Para obter instruções, consulte [Configurar o AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere).
1. Abra o [console do Amazon IAM](https://console.aws.amazon.com/iam/home).
1. No painel de navegação à esquerda, selecione **Perfis**.
1. Na página **Perfis**, selecione **Criar perfil**.
1. Na página **Selecionar entidade confiável**, faça o seguinte:
1. Na **Seção do tipo de entidade confiável**, escolha **Política de confiança personalizada**. Cole o indicado abaixo no editor de políticas de confiança personalizadas. Substitua `TRUST_ANCHOR ARN` pelo ARN da âncora de confiança criada nas etapas de [Configurar o AWS IAM Roles Anywhere](#hybrid-nodes-iam-roles-anywhere). A condição nessa política de confiança restringe a capacidade do AWS IAM Roles Anywhere de assumir o perfil do IAM de nós híbridos para trocar as credenciais temporárias do IAM somente quando o nome da sessão do perfil corresponder ao CN no certificado x509 instalado nos nós híbridos. Como alternativa, você pode usar outros atributos de certificado para identificar o nó de forma exclusiva. O atributo de certificado que você usa na política de confiança deve corresponder ao nodeName definido na configuração de nodeadm. Para obter mais informações, consulte a [Referência do `nodeadm` para nós híbridos](hybrid-nodes-nodeadm.md).
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": [
"sts:TagSession",
"sts:SetSourceIdentity"
],
"Condition": {
"StringEquals": {
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
},
{
"Effect": "Allow",
"Principal": {
"Service": "rolesanywhere.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"sts:RoleSessionName": "${aws:PrincipalTag/x509Subject/CN}",
"aws:PrincipalTag/x509Subject/CN": "${aws:PrincipalTag/x509Subject/CN}"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:rolesanywhere:us-east-1:123456789012:trust-anchor/TA_ID"
}
}
}
]
}
```
1. Escolha Next (Próximo).
1. Na página **Add permissions (Adicionar permissões)**, faça o seguinte:
1. Na caixa **Filtrar políticas**, insira `EKSDescribeClusterPolicy` ou o nome da política que você criou acima. Marque a caixa de seleção à esquerda do nome da política nos resultados da pesquisa.
1. Na caixa **Filtrar políticas** insira `AmazonEC2ContainerRegistryPullOnly`. Marque a caixa de seleção à esquerda de `AmazonEC2ContainerRegistryPullOnly` nos resultados da pesquisa.
1. Escolha **Próximo**.
1. Na página **Name, review, and create** (Nomear, revisar e criar), faça o seguinte:
1. Em **Nome do perfil**, insira um nome exclusivo para o perfil, como `AmazonEKSHybridNodesRole`.
1. Em **Description** (Descrição), substitua o texto atual por um texto descritivo como `Amazon EKS - Hybrid Nodes role`.
1. Selecione **Criar perfil**.