Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# politiques IAM
<a name="iam-policies"></a>

Vous pouvez associer des rôles d'instance à des groupes de nœuds. Les charges de travail exécutées sur le nœud recevront des autorisations IAM de la part du nœud. Pour plus d'informations, consultez la section [Rôles IAM pour Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html).

Cette page répertorie les modèles de politique IAM prédéfinis disponibles dans eksctl. Ces modèles simplifient le processus d'octroi à vos nœuds EKS des autorisations de service AWS appropriées sans avoir à créer manuellement des politiques IAM personnalisées.

## Politiques complémentaires IAM prises en charge
<a name="_supported_iam_add_on_policies"></a>

Exemple de toutes les politiques relatives aux modules complémentaires prises en charge :

```
nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true
```

### Politique d'Image Builder
<a name="_image_builder_policy"></a>

La `imageBuilder` politique permet un accès complet à l'ECR (Elastic Container Registry). Cela est utile pour créer, par exemple, un serveur CI qui doit envoyer des images vers ECR.

### Politique EBS
<a name="_ebs_policy"></a>

La `ebs` politique active le nouveau pilote EBS CSI (Elastic Block Store Container Storage Interface).

### Politique du gestionnaire de certificats
<a name="_cert_manager_policy"></a>

La `certManager` politique permet d'ajouter des enregistrements à Route 53 afin de relever le DNS01 défi. Vous trouverez plus d'informations [ici](https://cert-manager.io/docs/configuration/acme/dns01/route53/#set-up-a-iam-role).

## Ajouter un rôle d'instance personnalisé
<a name="_adding_a_custom_instance_role"></a>

Cet exemple crée un groupe de nœuds qui réutilise un rôle d'instance IAM existant provenant d'un autre cluster :

```
apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"
```

## Joindre des politiques en ligne
<a name="_attaching_inline_policies"></a>

```
nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'
```

## Joindre des politiques par ARN
<a name="_attaching_policies_by_arn"></a>

```
nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
```

**Avertissement**  
Si un groupe de nœuds inclut le, `attachPolicyARNs` il **doit** également inclure les politiques de nœud par défaut`AmazonEKSWorkerNodePolicy`, `AmazonEKS_CNI_Policy` comme `AmazonEC2ContainerRegistryPullOnly` dans cet exemple.