

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Opzione 2: abilitare IAM Roles for Service Accounts (IRSA) sul cluster EKS
<a name="setting-up-enable-IAM-service-accounts"></a>

La funzionalità dei ruoli IAM per gli account di servizio è disponibile per i nuovi cluster Amazon EKS con Kubernetes versione 1.14 e successiva e per i cluster EKS aggiornati alle versioni 1.13 o successiva dopo il 3 settembre 2019 incluso. Per poter utilizzare questa funzionalità, puoi aggiornare i cluster EKS esistenti alla versione 1.14 o successiva. Per ulteriori informazioni, consulta [Aggiornamento di una versione Kubernetes del cluster Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/update-cluster.html).

Se supporta i ruoli IAM per gli account di servizio, il cluster è associato a un URL dell'emittente [OpenID Connect](https://openid.net/connect/). Puoi visualizzare questo URL nella console Amazon EKS oppure puoi utilizzare il seguente AWS CLI comando per recuperarlo.

**Importante**  
È necessario utilizzare la versione più recente di AWS CLI per ricevere l'output corretto da questo comando.

```
aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text
```

L'output previsto è il seguente:

```
https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E
```

Per utilizzare i ruoli IAM per gli account di servizio nel cluster è necessario creare un provider di identità OIDC utilizzando [eksctl](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html#create-oidc-eksctl) o la [Console di gestione AWS](https://docs.aws.amazon.com/eks/latest/userguide/enable-iam-roles-for-service-accounts.html#create-oidc-console).

## Creazione di un provider di identità IAM OIDC per il cluster con `eksctl`
<a name="setting-up-OIDC-eksctl"></a>

Controlla la versione della `eksctl` con il comando seguente. Questa procedura presuppone che `eksctl` sia installato e che la versione di `eksctl` sia 0.32.0 o successiva.

```
eksctl version
```

Per ulteriori informazioni sull'installazione o sull'aggiornamento di eksctl, consulta [Installazione o aggiornamento di eksctl](https://docs.aws.amazon.com/eks/latest/userguide/eksctl.html#installing-eksctl).

Crea il provider di identità OIDC per il cluster con il comando seguente. Sostituire *cluster\$1name* con il proprio valore.

```
eksctl utils associate-iam-oidc-provider --cluster cluster_name --approve
```

## Per creare un provider di identità IAM OIDC per il cluster con Console di gestione AWS
<a name="setting-up-OIDC-console"></a>

Recupera l'URL dell'emittente OIDC dalla descrizione della console Amazon EKS del cluster o usa il seguente comando. AWS CLI 

Utilizza il seguente comando per recuperare l'URL dell'emittente OIDC dalla AWS CLI.

```
aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text
```

Utilizza la seguente procedura per recuperare l'URL dell'emittente OIDC dalla console Amazon EKS. 

1. Aprire la console IAM all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Nel pannello di navigazione, scegli **Identity Providers (Provider di identità)**, quindi seleziona **Create Provider (Crea provider)**.

   1. Per **Tipo di provider**, seleziona **Scegli un tipo di provider** e quindi **OpenID Connect**.

   1. Per **URL provider**, incolla l'URL dell'emittente OIDC del cluster.

   1. Per Audience (Pubblico), digita sts.amazonaws.com e scegli **Next Step (Fase successiva)**.

1. Verifica che le informazioni del provider siano corrette, quindi seleziona **Crea** per creare il provider di identità.