Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Kebijakan IAM
<a name="iam-policies"></a>

Anda dapat melampirkan Peran Instance ke grup node. Beban kerja yang berjalan pada node akan menerima izin IAM dari node. Untuk informasi lebih lanjut, lihat [peran IAM untuk Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html).

Halaman ini mencantumkan templat kebijakan IAM yang telah ditentukan sebelumnya yang tersedia di eksctl. Template ini menyederhanakan proses pemberian izin layanan AWS kepada node EKS Anda tanpa harus membuat kebijakan IAM khusus secara manual.

## Kebijakan add-on IAM yang didukung
<a name="_supported_iam_add_on_policies"></a>

Contoh semua kebijakan add-on yang didukung:

```
nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true
```

### Kebijakan Image Builder
<a name="_image_builder_policy"></a>

`imageBuilder`Kebijakan ini memungkinkan akses penuh ECR (Elastic Container Registry). Ini berguna untuk membangun, misalnya, server CI yang perlu mendorong gambar ke ECR.

### Kebijakan EBS
<a name="_ebs_policy"></a>

`ebs`Kebijakan ini memungkinkan driver EBS CSI (Elastic Block Store Container Storage Interface) yang baru.

### Kebijakan Manajer Cert
<a name="_cert_manager_policy"></a>

`certManager`Kebijakan ini memungkinkan kemampuan untuk menambahkan catatan ke Route 53 untuk menyelesaikan DNS01 tantangan. Informasi lebih lanjut dapat ditemukan [di sini](https://cert-manager.io/docs/configuration/acme/dns01/route53/#set-up-a-iam-role).

## Menambahkan peran instance khusus
<a name="_adding_a_custom_instance_role"></a>

Contoh ini membuat nodegroup yang menggunakan kembali Peran Instans IAM yang ada dari cluster lain:

```
apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"
```

## Melampirkan kebijakan inline
<a name="_attaching_inline_policies"></a>

```
nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'
```

## Melampirkan kebijakan oleh ARN
<a name="_attaching_policies_by_arn"></a>

```
nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
```

**Awas**  
Jika nodegroup menyertakan nodegroup `attachPolicyARNs` itu juga **harus** menyertakan kebijakan node default, seperti`AmazonEKSWorkerNodePolicy`, `AmazonEKS_CNI_Policy` dan `AmazonEC2ContainerRegistryPullOnly` dalam contoh ini.