Zuordnen von Zugriffsrichtlinien zu Zugriffseinträgen und Aufheben dieser Zuordnung - Amazon EKS
Berechtigungen von ZugriffsrichtlinienAktualisierungen für Zugriffsrichtlinien

Helfen Sie mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zuordnen von Zugriffsrichtlinien zu Zugriffseinträgen und Aufheben dieser Zuordnung

Sie können Zugriffseinträgen vom Typ STANDARD eine oder mehrere Zugriffsrichtlinien zuweisen. Amazon EKS erteilt den anderen Arten von Zugriffseinträgen automatisch die erforderlichen Berechtigungen, damit sie in Ihrem Cluster ordnungsgemäß funktionieren. Die Amazon EKS-Zugriffsrichtlinien beinhalten Kubernetes-Berechtigungen (keine IAM-Berechtigungen). Machen Sie sich mit den Kubernetes-Berechtigungen vertraut, die in den einzelnen Zugriffsrichtlinien-Optionen enthalten sind, bevor Sie einem Zugriffseintrag eine Zugriffsrichtlinie zuweisen. Weitere Informationen finden Sie unter Berechtigungen von Zugriffsrichtlinien. Wenn keine der Zugriffsrichtlinien Ihre Anforderungen erfüllt, ordnen Sie einem Zugriffseintrag keine Zugriffsrichtlinie zu. Geben Sie stattdessen mindestens einen Gruppennamen für den Zugriffseintrag an und erstellen und verwalten Sie Kubernetes-Objekte für die rollenbasierte Zugriffssteuerung. Weitere Informationen finden Sie unter Erstellen von Zugriffseinträgen.

Voraussetzungen

  • Ein vorhandener Zugriffseintrag. Informationen zum Erstellen finden Sie unter Erstellen von Zugriffseinträgen.

  • Eine AWS Identity and Access Management Rolle oder ein Benutzer mit den folgenden Berechtigungen: ListAccessEntriesDescribeAccessEntry,UpdateAccessEntry,ListAccessPolicies,AssociateAccessPolicy, undDisassociateAccessPolicy. Weitere Informationen finden Sie in der Service-Authorization-Referenz unter Von Amazon Elastic Kubernetes Service definierte Aktionen.

Berücksichtigen Sie die folgenden Anforderungen, bevor Sie Zugriffsrichtlinien mit Zugriffseinträgen verknüpfen:

  • Sie können jedem Zugriffseintrag mehrere Zugriffsrichtlinien zuordnen, aber Sie können jede Richtlinie nur einmal einem Zugriffseintrag zuordnen. Wenn Sie mehrere Zugriffsrichtlinien zuordnen, verfügt der IAM-Prinzipal des Zugriffseintrags über alle Berechtigungen aus allen zugeordneten Zugriffsrichtlinien.

  • Sie können eine Zugriffsrichtlinie auf alle Ressourcen in einem Cluster ausrichten oder den Namen eines oder mehrerer Kubernetes-Namespaces angeben. Sie können Platzhalterzeichen für einen Namespace-Namen verwenden. Wenn Sie beispielsweise eine Zugriffsrichtlinie auf alle Namespaces ausrichten möchten, die mit dev- beginnen, können Sie dev-* als Namespace-Namen angeben. Stellen Sie sicher, dass die Namespaces in Ihrem Cluster vorhanden sind und dass Ihre Schreibweise dem tatsächlichen Namespace-Namen im Cluster entspricht. Amazon EKS überprüft weder die Schreibweise noch das Vorhandensein der Namespaces in Ihrem Cluster.

  • Der Zugriffsbereich für eine Zugriffsrichtlinie kann geändert werden, nachdem sie einem Zugriffseintrag zugeordnet wurde. Wenn Sie die Zugriffsrichtlinie auf Kubernetes-Namespaces beschränkt haben, können Sie bei Bedarf Namespaces für die Zuordnung hinzufügen und entfernen.

  • Wenn Sie eine Zugriffsrichtlinie einem Zugriffseintrag zuordnen, für den auch Gruppennamen angegeben sind, verfügt der IAM-Prinzipal über alle Berechtigungen in allen zugehörigen Zugriffsrichtlinien. Außerdem verfügt er über alle Berechtigungen aus jedem Kubernetes-Objekt vom Typ Role oder ClusterRole, das in einem beliebigen Kubernetes-Objekt vom Typ Role oder RoleBinding zum Angeben der Gruppennamen angegeben ist.

  • Wenn Sie den Befehl kubectl auth can-i --list ausführen, werden keine Kubernetes-Berechtigungen angezeigt, die durch Zugriffsrichtlinien zugewiesen wurden, die einem Zugriffseintrag für den IAM-Prinzipal zugeordnet sind, den Sie beim Ausführen des Befehls verwenden. Der Befehl zeigt nur Kubernetes-Berechtigungen an, wenn Sie sie in Kubernetes-Objekten vom Typ Role oder ClusterRole erteilt haben, die Sie an die Gruppennamen oder an den Benutzernamen gebunden haben, die bzw. den Sie für einen Zugriffseintrag angegeben haben.

  • Wenn Sie bei der Interaktion mit Kubernetes-Objekten in Ihrem Cluster die Identität eines Kubernetes-Benutzers oder einer entsprechenden Gruppe annehmen (beispielsweise, wenn Sie den Befehl kubectl mit --as username oder --as-group group-name verwenden), erzwingen Sie die Verwendung der Kubernetes-RBAC-Autorisierung. Daher werden dem IAM-Prinzipal keine Berechtigungen durch eine Zugriffsrichtlinie zugewiesen, die dem Zugriffseintrag zugeordnet ist. Die einzigen Kubernetes-Berechtigungen, über die der Benutzer oder die Gruppe verfügt, dessen bzw. deren Identität der IAM-Prinzipal angenommen hat, sind die Kubernetes-Berechtigungen, die Sie in Kubernetes-Objekten vom Typ Role oder ClusterRole erteilt haben, die von Ihnen an die Gruppennamen oder an den Benutzernamen gebunden wurden. Nehmen Sie nicht die Identität eines Kubernetes-Benutzers oder einer entsprechenden Gruppe an, wenn Ihr IAM-Prinzipal über die Berechtigungen in zugeordneten Zugriffsrichtlinien verfügen soll. Der IAM-Prinzipal verfügt auch weiterhin über alle Berechtigungen, die Sie ihm in den Kubernetes-Objekten vom Typ Role oder ClusterRole erteilt haben, die Sie an die Gruppennamen oder an den Benutzernamen gebunden haben, die bzw. den Sie für den Zugriffseintrag angegeben haben. Weitere Informationen finden Sie in der Dokumentation zu Kubernetes unter User impersonation.

Mit dem AWS Management Console oder dem können Sie einem Zugriffseintrag eine Zugriffsrichtlinie zuordnen AWS CLI.

AWS Management Console
So verwenden Sie die AWS Management Console, um eine Zugriffsrichtlinie einem Zugriffseintrag zuzuordnen

  1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie den Namen des Clusters aus, der über einen Zugriffseintrag verfügt, dem Sie eine Zugriffsrichtlinien zuordnen möchten.

  3. Wählen Sie die Registerkarte Zugriff aus.

  4. Wenn es sich um einen Zugriffseintrag vom Typ Standard handelt, können Sie Zugriffsrichtlinien von Amazon EKS zuordnen oder deren Zuordnung aufheben. Bei Zugriffseinträgen eines anderen Typs (also nicht Standard) steht diese Option nicht zur Verfügung.

  5. Wählen Sie Zugriffsrichtlinie zuordnen aus.

  6. Wählen Sie unter Richtlinienname die Richtlinie mit den Berechtigungen aus, über die der IAM-Prinzipal verfügen soll. Informationen zu den Berechtigungen, die in der jeweiligen Richtlinie enthalten sind, finden Sie unter Berechtigungen von Zugriffsrichtlinien.

  7. Wählen Sie unter Zugriffsbereich einen Zugriffsbereich aus. Bei Verwendung der Option Cluster werden die Berechtigungen in der Zugriffsrichtlinie dem IAM-Prinzipal für Ressourcen in allen Kubernetes-Namespaces erteilt. Bei Verwendung der Option Kubernetes-Namespace können Sie anschließend Neuen Namespace hinzufügen auswählen. In dem daraufhin angezeigten Feld Namespace können Sie den Namen eines Kubernetes-Namespace in Ihrem Cluster eingeben. Wenn die Berechtigungen für den IAM-Prinzipal in mehreren Namespaces gelten sollen, können Sie mehrere Namespaces eingeben.

  8. Wählen Sie Zugriffsrichtlinie hinzufügen aus.

AWS CLI
Voraussetzung

Version 2.12.3 oder höher oder Version 1.27.160 oder höher von AWS Command Line Interface (AWS CLI), die auf Ihrem Gerät installiert und konfiguriert ist, oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sie aws --version | cut -d / -f2 | cut -d ' ' -f1. Paket-Manager wie yum, apt-get oder Homebrew für macOS sind oft mehrere Versionen hinter der neuesten Version von AWS CLI. Informationen zur Installation der neuesten Version von finden Sie unter Installation, Aktualisierung und Deinstallation der AWS CLI und Schnellkonfiguration mit aws configure im AWS Command Line Interface -Benutzerhandbuch. Die AWS CLI Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie unter Installation AWS CLI in Ihrem Home-Verzeichnis im AWS CloudShell Benutzerhandbuch.

So ordnen Sie eine Zugriffsrichtlinie einem Zugriffseintrag zu

  1. Sehen Sie sich die verfügbaren Zugriffsrichtlinien an.

    aws eks list-access-policies --output table

    Eine Beispielausgabe sieht wie folgt aus.

    ---------------------------------------------------------------------------------------------------------
|                                          ListAccessPolicies                                           |
+-------------------------------------------------------------------------------------------------------+
||                                           accessPolicies                                            ||
|+---------------------------------------------------------------------+-------------------------------+|
||                                 arn                                 |             name              ||
|+---------------------------------------------------------------------+-------------------------------+|
||  arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy        |  AmazonEKSAdminPolicy         ||
||  arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy |  AmazonEKSClusterAdminPolicy  ||
||  arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy         |  AmazonEKSEditPolicy          ||
||  arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy         |  AmazonEKSViewPolicy          ||
|+---------------------------------------------------------------------+-------------------------------+|

    Informationen zu den Berechtigungen, die in der jeweiligen Richtlinie enthalten sind, finden Sie unter Berechtigungen von Zugriffsrichtlinien.

  2. Sehen Sie sich Ihre vorhandenen Zugriffseinträge an. Ersetzen Sie my-cluster durch den Namen Ihres Clusters.

    aws eks list-access-entries --cluster-name my-cluster

    Eine Beispielausgabe sieht wie folgt aus.

    {
    "accessEntries": [
        "arn:aws:iam::111122223333:role/my-role",
        "arn:aws:iam::111122223333:user/my-user"
    ]
}

  3. Ordnen Sie eine Zugriffsrichtlinie einem Zugriffseintrag zu. Im folgenden Beispiel wird die Zugriffsrichtlinie AmazonEKSViewPolicy einem Zugriffseintrag zugeordnet. Wenn die IAM-Rolle my-role versucht, auf Kubernetes-Objekte im Cluster zuzugreifen, autorisiert Amazon EKS die Rolle nur dazu, die Berechtigungen in der Richtlinie für den Zugriff auf Kubernetes-Objekte in den Kubernetes-Namespaces my-namespace1 und my-namespace2 zu verwenden. Ersetzen Sie my-cluster durch den Namen Ihres Clusters, 111122223333 durch Ihre AWS-Konto -ID und my-role durch den Namen der IAM-Rolle, für die Amazon EKS den Zugriff auf Kubernetes-Cluster-Objekte autorisieren soll.

    aws eks associate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role \
    --access-scope type=namespace,namespaces=my-namespace1,my-namespace2 --policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

    Wenn die Berechtigungen für den IAM-Prinzipal clusterweit gelten sollen, ersetzen Sie type=namespace,namespaces=my-namespace1,my-namespace2 durch type=cluster. Wenn Sie dem Zugriffseintrag mehrere Zugriffsrichtlinien zuordnen möchten, führen Sie den Befehl mehrmals aus und verwenden Sie dabei jeweils eine individuelle Zugriffsrichtlinie. Jede zugeordnete Zugriffsrichtlinie hat ihren eigenen Geltungsbereich.

    Anmerkung

    Wenn Sie später den Geltungsbereich einer zugehörigen Zugriffsrichtlinie ändern möchten, können Sie den vorherigen Befehl erneut ausführen und dabei den neuen Bereich angeben. Wenn Sie also beispielsweise my-namespace2 entfernen möchten, führen Sie den Befehl erneut aus und verwenden Sie dabei nur type=namespace,namespaces=my-namespace1. Wenn Sie den Bereich von namespace in cluster ändern möchten, führen Sie den Befehl erneut aus und verwenden Sie dabei type=cluster, um type=namespace,namespaces=my-namespace1,my-namespace2 zu entfernen.

So heben Sie die Zuordnung zwischen einer Zugriffsrichtlinie und einem Zugriffseintrag auf

  1. Ermitteln Sie, welche Zugriffsrichtlinien einem Zugriffseintrag zugeordnet sind.

    aws eks list-associated-access-policies --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role

    Eine Beispielausgabe sieht wie folgt aus.

    {
    "clusterName": "my-cluster",
    "principalArn": "arn:aws:iam::111122223333",
    "associatedAccessPolicies": [
        {
            "policyArn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy",
            "accessScope": {
                "type": "cluster",
                "namespaces": []
            },
            "associatedAt": "2023-04-17T15:25:21.675000-04:00",
            "modifiedAt": "2023-04-17T15:25:21.675000-04:00"
        },
        {
            "policyArn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy",
            "accessScope": {
                "type": "namespace",
                "namespaces": [
                    "my-namespace1",
                    "my-namespace2"
                ]
            },
            "associatedAt": "2023-04-17T15:02:06.511000-04:00",
            "modifiedAt": "2023-04-17T15:02:06.511000-04:00"
        }
    ]
}

    Im vorherigen Beispiel verfügt der IAM-Prinzipal für diesen Zugriffseintrag über Leseberechtigungen für alle Namespaces im Cluster und über Administratorberechtigungen für zwei Kubernetes-Namespaces.

  2. Heben Sie die Zuordnung zwischen einer Zugriffsrichtlinie und einem Zugriffseintrag auf. In diesem Beispiel wird die Zuordnung zwischen der Richtlinie AmazonEKSAdminPolicy und einem Zugriffseintrag aufgehoben. Die in der Zugriffsrichtlinie AmazonEKSViewPolicy enthaltenen Berechtigungen für Objekte in den Namespaces my-namespace1 und my-namespace2 bleiben für den IAM-Prinzipal allerdings erhalten, da die Zuordnung zwischen dieser Zugriffsrichtlinie und dem Zugriffseintrag nicht aufgehoben wird.

    aws eks disassociate-access-policy --cluster-name my-cluster --principal-arn arn:aws:iam::111122223333:role/my-role \
    --policy-arn arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Berechtigungen von Zugriffsrichtlinien

Zugriffsrichtlinien beinhalten Regeln (rules), die Kubernetes-Verben (verbs; Berechtigungen) und Ressourcen (resources) enthalten. Zugriffsrichtlinien beinhalten keine IAM-Berechtigungen oder -Ressourcen. Ähnlich wie bei Kubernetes-Objekten vom Typ Role und ClusterRole beinhalten Zugriffsrichtlinien nur Regeln (rules) vom Typ „Zulassen“ (allow). Der Inhalt einer Zugriffsrichtlinie kann nicht geändert werden. Sie können keine eigenen Zugriffsrichtlinien erstellen. Wenn die Berechtigungen in den Zugriffsrichtlinien Ihre Anforderungen nicht erfüllen, können Sie Kubernetes-RBAC-Objekte erstellen und Gruppennamen für Ihre Zugriffseinträge angeben. Weitere Informationen finden Sie unter Erstellen von Zugriffseinträgen. Die in Zugriffsrichtlinien enthaltenen Berechtigungen sind vergleichbar mit den Berechtigungen in den für Benutzer vorgesehenen Kubernetes-Clusterrollen. Weitere Informationen finden Sie in der Dokumentation zu Kubernetes unter User-facing roles.

Wählen Sie eine beliebige Zugriffsrichtlinie aus, um ihren Inhalt anzuzeigen. Die Zeilen der einzelnen Tabellen in den Zugriffsrichtlinien sind jeweils separate Regeln.

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal die meisten Berechtigungen für Ressourcen erteilen. Wenn diese Zugriffsrichtlinie einem Zugriffseintrag zugeordnet ist, umfasst der Zugriffsbereich in der Regel mindestens einen Kubernetes-Namespace. Wenn ein IAM-Prinzipal über Administratorzugriff auf alle Ressourcen in Ihrem Cluster verfügen soll, ordnen Sie die Zugriffsrichtlinie AmazonEKS ClusterAdminPolicy stattdessen Ihrem Zugriffseintrag zu.

ARNarn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)
apps daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale create, delete, deletecollection, patch, update
apps controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status get, list, watch
authorization.k8s.io localsubjectaccessreviews create
autoscaling horizontalpodautoscalers create, delete, deletecollection, patch, update
autoscaling horizontalpodautoscalers, horizontalpodautoscalers/status get, list, watch
batch cronjobs, jobs create, delete, deletecollection, patch, update
batch cronjobs, cronjobs/status, jobs, jobs/status get, list, watch
discovery.k8s.io endpointslices get, list, watch
extensions daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale create, delete, deletecollection, patch, update
extensions daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale get, list, watch
networking.k8s.io ingresses, ingresses/status, networkpolicies get, list, watch
networking.k8s.io ingresses, networkpolicies create, delete, deletecollection, patch, update
policy poddisruptionbudgets create, delete, deletecollection, patch, update
policy poddisruptionbudgets, poddisruptionbudgets/status get, list, watch
rbac.authorization.k8s.io rolebindings, roles create, delete, deletecollection, get, list, patch, update, watch
configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status get,list, watch
pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy get, list, watch
configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy create, delete, deletecollection, patch, update
pods, pods/attach, pods/exec, pods/portforward, pods/proxy create, delete, deletecollection, patch, update
serviceaccounts impersonate
bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status get, list, watch
namespaces get,list, watch

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipaladministrator Zugriff auf einen Cluster gewähren. Wenn diese Zugriffsrichtlinie einem Zugriffseintrag zugeordnet ist, umfasst der Zugriffsbereich in der Regel keinen Kubernetes-Namespace, sondern den Cluster. Wenn der Administratorbereich eines IAM-Prinzipals stärker eingeschränkt sein soll, können Sie stattdessen Ihrem Zugriffseintrag ggf. die Zugriffsrichtlinie AmazonEKS AdminPolicy zuordnen.

ARNarn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes-API-Gruppen Kubernetes nonResourceURLs Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)
* * *
* *

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal Zugriff auf die Liste/Anzeige aller Ressourcen in einem Cluster gewähren. Beachten Sie, dass dies auch Secrets beinhaltetKubernetes.

ARNarn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)
* * get, list, watch

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal die Bearbeitung der meisten Kubernetes-Ressourcen ermöglichen.

ARNarn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)
apps daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale create, delete, deletecollection, patch, update
apps controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status get, list, watch
autoscaling horizontalpodautoscalers, horizontalpodautoscalers/status get, list, watch
autoscaling horizontalpodautoscalers create, delete, deletecollection, patch, update
batch cronjobs, jobs create, delete, deletecollection, patch, update
batch cronjobs, cronjobs/status, jobs, jobs/status get, list, watch
discovery.k8s.io endpointslices get, list, watch
extensions daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale create, delete, deletecollection, patch, update
extensions daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale get, list, watch
networking.k8s.io ingresses, networkpolicies create, delete, deletecollection, patch, update
networking.k8s.io ingresses, ingresses/status, networkpolicies get, list, watch
policy poddisruptionbudgets create, delete, deletecollection, patch, update
policy poddisruptionbudgets, poddisruptionbudgets/status get, list, watch
namespaces get, list, watch
pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy get, list, watch
serviceaccounts impersonate
pods, pods/attach, pods/exec, pods/portforward, pods/proxy create, delete, deletecollection, patch, update
configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy create, delete, deletecollection, patch, update
configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status get, list, watch
bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status get, list, watch

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal die Anzeige der meisten Kubernetes-Ressourcen ermöglichen.

ARNarn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)
apps controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status get, list, watch
autoscaling horizontalpodautoscalers, horizontalpodautoscalers/status get, list, watch
batch cronjobs, cronjobs/status, jobs, jobs/status get, list, watch
discovery.k8s.io endpointslices get, list, watch
extensions daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale get, list, watch
networking.k8s.io ingresses, ingresses/status, networkpolicies get, list, watch
policy poddisruptionbudgets, poddisruptionbudgets/status get, list, watch
configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status get, list, watch
bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status get, list, watch
namespaces get, list, watch

Aktualisierungen für Zugriffsrichtlinien

Sehen Sie sich an, welche Aktualisierungen für Zugriffsrichtlinien seit ihrer Einführung vorgenommen wurden. Wenn Sie automatisch über Änderungen an dieser Seite benachrichtigt werden möchten, abonnieren Sie den RSS-Feed auf der Dokumentverlaufsseite von Amazon EKS.

Änderung Beschreibung Datum
Add AmazonEKSAdminViewPolicy Fügen Sie eine neue Richtlinie für erweiterten Anzeigezugriff hinzu, einschließlich Ressourcen wie Secrets. 23. April 2024

Zugriffsrichtlinien wurden eingeführt.

In Amazon EKS wurden Zugriffsrichtlinien eingeführt.

 29. Mai 2023