**Ayude a mejorar esta página** 

Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.

# Rol de IAM de nodo del modo automático de Amazon EKS
<a name="auto-create-node-role"></a>

**nota**  
No se puede utilizar el mismo rol que se utiliza para crear clústeres.

Antes de crear nodos, debe crear un rol de IAM con las siguientes políticas, o permisos equivalentes:
+  [AmazonEKSWorkerNodeMinimalPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) 
+  [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) 

## Verificar un rol de nodo existente
<a name="auto-create-node-role-check"></a>

Puede utilizar el siguiente procedimiento para verificar y conocer si la cuenta ya dispone del rol de nodo de Amazon EKS.

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

1. En el panel de navegación izquierdo, elija **Roles**.

1. En la lista de roles, busque `AmazonEKSAutoNodeRole`. Si no existe un rol con uno de esos nombres, consulte las instrucciones que figuran en la siguiente sección para crear el rol. Si existe un rol que contiene `AmazonEKSAutoNodeRole`, seleccione el rol para ver las políticas asociadas.

1. Elija **Permisos**.

1. Asegúrese de que se asocian las políticas requeridas mencionadas anteriormente, o políticas personalizadas equivalentes.

1. Elija **Relaciones de confianza** y, a continuación, **Editar política de confianza**.

1. Verifique que la relación de confianza contiene la siguiente política. Si la relación de confianza coincide con la política a continuación, seleccione **Cancelar**. Si la relación de confianza no coincide, copie la política en la ventana **Editar política de confianza** y elija **Actualizar política**.

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "ec2.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

## Crear el rol de IAM de nodo de Amazon EKS
<a name="auto-create-node-role-iam"></a>

Puede crear el rol de IAM del nodo con la Consola de administración de AWS o la CLI de AWS.

### Consola de administración de AWS
<a name="auto-create-node-role-console"></a>

1. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

1. En el panel de navegación izquierdo, elija **Roles**.

1. En la página **Roles**, elija **Crear rol**.

1. En la página **Seleccionar entidad de confianza**, haga lo siguiente:

   1. En la sección **Tipo de entidad de confianza**, elija **Servicio de AWS**.

   1. En **Caso de uso**, elija **EC2**.

   1. Elija **Siguiente**.

1. En la página **Agregar permisos**, elija las siguientes políticas:
   +  [AmazonEKSWorkerNodeMinimalPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) 
   +  [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) 

1. En la página **Nombrar, revisar y crear**, haga lo siguiente:

   1. En **Nombre del rol**, ingrese un nombre único para su rol, por ejemplo, `AmazonEKSAutoNodeRole`.

   1. En **Descripción**, sustituya el texto actual por un texto descriptivo, como `Amazon EKS - Node role`.

   1. En **Agregar etiquetas (Opcional)**, de manera opcional, agregue metadatos al rol asociando etiquetas como pares de clave-valor. Para obtener más información sobre el uso de etiquetas en IAM, consulte [Etiquetado de recursos de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) en la *Guía de usuario de IAM*.

   1. Elija **Creación de rol**.

### AWS CLI
<a name="auto-create-node-role-cli"></a>

 **Creación del rol de IAM de nodo** 

Utilice el archivo **node-trust-policy.json** del paso anterior para definir qué entidades pueden asumir el rol. Ejecute el siguiente comando para crear el rol de IAM del nodo:

```
aws iam create-role \
    --role-name AmazonEKSAutoNodeRole \
    --assume-role-policy-document file://node-trust-policy.json
```

 **Apunte el ARN del rol** 

Después de crear el rol, recupere y guarde el ARN del rol de IAM del nodo. Necesitará este ARN en los pasos siguientes. Utilice el siguiente comando para obtener el ARN:

```
aws iam get-role --role-name AmazonEKSAutoNodeRole --query "Role.Arn" --output text
```

 **Asociar las políticas necesarias** 

Asocie las siguientes políticas administradas de AWS al rol de IAM del nodo para proporcionar los permisos necesarios:

Para asociar AmazonEKSWorkerNodeMinimalPolicy:

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEKSWorkerNodeMinimalPolicy
```

Para asociar AmazonEC2ContainerRegistryPullOnly:

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```