**Contribuisci a migliorare questa pagina** 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link **Modifica questa pagina** nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Ruolo IAM del nodo della modalità automatica di Amazon EKS
<a name="auto-create-node-role"></a>

**Nota**  
Non puoi utilizzare lo stesso ruolo usato per creare i cluster.

Prima di creare i nodi, devi creare un ruolo IAM con le seguenti policy, o autorizzazioni equivalenti:
+  [AmazonEKSWorkerNodeMinimalPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) 
+  [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) 

## Verifica della presenza di un ruolo di nodo esistente
<a name="auto-create-node-role-check"></a>

Per controllare se l’account dispone già di un ruolo di nodo Amazon EKS, utilizza la procedura indicata di seguito.

1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.

1. Cerca l’elenco dei ruoli per `AmazonEKSAutoNodeRole`. Se un ruolo con uno di questi nomi non esiste, consulta le istruzioni nella sezione successiva per creare il ruolo. Se esiste un ruolo che contiene `AmazonEKSAutoNodeRole`, selezionare il ruolo per visualizzare i criteri allegati.

1. Seleziona **Autorizzazioni**.

1. Assicurati che siano allegate le policy richieste sopra riportate o le policy personalizzate equivalenti.

1. Scegli **Relazioni di attendibilità**, quindi scegli **Modifica policy di attendibilità**.

1. Verifica che la relazione di trust includa la policy seguente. Se la relazione di attendibilità corrisponde alla policy seguente, scegli **Annulla**. Se la relazione di attendibilità non corrisponde, copia la policy nella finestra **Modifica policy di attendibilità** e scegli **Aggiorna policy**.

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "Service": "ec2.amazonaws.com"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   ```

## Creazione del ruolo IAM del nodo Amazon EKS
<a name="auto-create-node-role-iam"></a>

Puoi creare il ruolo IAM del nodo con Console di gestione AWS o la AWS CLI.

### Console di gestione AWS
<a name="auto-create-node-role-console"></a>

1. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

1. Nel pannello di navigazione a sinistra, seleziona **Ruoli**.

1. Nella pagina **Ruoli**, seleziona **Crea ruolo**.

1. Nella pagina **Seleziona un’entità attendibile**, esegui le operazioni seguenti:

   1. Nella sezione **Tipo di entità affidabile**, scegli ** AWS servizio**.

   1. Per **Caso d’uso**, seleziona **EC2**.

   1. Scegli **Successivo**.

1. Nella pagina **Aggiungi autorizzazioni**, allega le policy seguenti:
   +  [AmazonEKSWorkerNodeMinimalPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) 
   +  [AmazonEC2ContainerRegistryPullOnly](https://docs.aws.amazon.com/AmazonECR/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonEC2ContainerRegistryPullOnly) 

1. Nella pagina **Assegna un nome, rivedi e crea**, esegui le operazioni seguenti:

   1. Per **Nome ruolo**, inserisci un nome univoco per il ruolo, ad esempio `AmazonEKSAutoNodeRole`.

   1. In **Descrizione**, sostituisci il testo attuale con un testo descrittivo come `Amazon EKS - Node role`.

   1. In **Aggiungi tag (facoltativo)**, aggiungi metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull’utilizzo di tag in IAM, consulta la sezione [Tagging IAM resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) nella *Guida per l’utente di IAM*.

   1. Scegli **Crea ruolo**.

### AWS CLI
<a name="auto-create-node-role-cli"></a>

 **Crea il ruolo IAM del nodo** 

Utilizza il **node-trust-policyfile.json** del passaggio precedente per definire quali entità possono assumere il ruolo. Per creare il ruolo IAM del nodo, esegui il seguente comando:

```
aws iam create-role \
    --role-name AmazonEKSAutoNodeRole \
    --assume-role-policy-document file://node-trust-policy.json
```

 **Annota l’ARN del ruolo** 

Una volta creato il ruolo, recupera e salva l’ARN del ruolo IAM del nodo. Sarà necessario usare questo ARN nei passaggi successivi. Usa il seguente comando per ottenere l’ARN:

```
aws iam get-role --role-name AmazonEKSAutoNodeRole --query "Role.Arn" --output text
```

 **Allega le policy richieste** 

Allega le seguenti policy AWS gestite al ruolo Node IAM per fornire le autorizzazioni necessarie:

Per collegare Amazon EKSWorkerNodeMinimalPolicy:

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEKSWorkerNodeMinimalPolicy
```

Per collegare Amazon EC2ContainerRegistryPullOnly:

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
```

 **Allega politica opzionale** 

Se desideri estrarre immagini di container da Public ECR, devi allegare la seguente policy AWS gestita al ruolo Node IAM per garantire che i nodi possano autenticarsi su Public ECR ed estrarre le immagini senza limitazioni.

Da allegare: AmazonElasticContainerRegistryPublicReadOnly

```
aws iam attach-role-policy \
    --role-name AmazonEKSAutoNodeRole \
    --policy-arn arn:aws: iam::aws:policy/AmazonElasticContainerRegistryPublicReadOnly
```