AWS verwaltete Richtlinien für Amazon Elastic Kubernetes Service - Amazon EKS
Amazon EKS _ CNI _RichtlinieEine mazonEKSCluster RichtlinieEin mazonEKSFargate PodExecutionRolePolicyEin mazonEKSFor FargateServiceRolePolicyEine mazonEKSService RichtlinieEin mazonEKSService RolePolicyEin mazonEKSVPCResource ControllerEin mazonEKSWorker NodePolicyEin mazonEKSWorker NodeMinimalPolicyAWS ServiceRoleForAmazonEKSNodegroupEine mazonEBSCSIDriver RichtlinieEine mazonEFSCSIDriver RichtlinieEin mazonEKSLocal OutpostClusterPolicyEin mazonEKSLocal OutpostServiceRolePolicyRichtlinienaktualisierungen

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Elastic Kubernetes Service

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter AWS Verwaltete Richtlinien.

AWS verwaltete Richtlinie: Amazon EKS _ CNI _Policy

Sie können das AmazonEKS_CNI_Policy an Ihre IAM Entitäten anhängen. Bevor Sie eine EC2 Amazon-Knotengruppe erstellen, muss diese Richtlinie entweder an die IAMKnotenrolle oder an eine IAM Rolle angehängt werden, die speziell von Amazon VPC CNI plugin for Kubernetes. Auf diese Weise kann es Aktionen in Ihrem Namen ausführen. Wir empfehlen, dass Sie die Richtlinie an eine Rolle anhängen, die nur vom Plugin verwendet wird. Weitere Informationen erhalten Sie unter Zuweisen IPs zu Pods mit dem Amazon VPC CNI und Konfigurieren Sie VPC CNI das zu verwendende Amazon-Plugin IRSA.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2:*NetworkInterfaceund ec2:*PrivateIpAddresses — Ermöglicht dem VPC CNI Amazon-Plugin die Ausführung von Aktionen wie die Bereitstellung von Elastic Network Interfaces und IP-Adressen für Pods um Netzwerke für Anwendungen bereitzustellen, die in Amazon ausgeführt EKS werden.

  • ec2Aktionen lesen — Ermöglicht dem VPC CNI Amazon-Plugin, Aktionen wie das Beschreiben von Instances und Subnetzen durchzuführen, um die Anzahl der freien IP-Adressen in Ihren VPC Amazon-Subnetzen zu sehen. Sie VPC CNI können die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen auszuwählen, die bei der Erstellung einer elastischen Netzwerkschnittstelle verwendet werden sollen.

Die neueste Version des JSON Richtliniendokuments finden Sie unter Amazon EKS _ CNI _Policy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Eine mazonEKSCluster Richtlinie

Sie können sie AmazonEKSClusterPolicy an Ihre IAM Entitäten anhängen. Bevor Sie einen Cluster erstellen, müssen Sie über eine IAMClusterrolle verfügen, der diese Richtlinie zugeordnet ist. Kubernetes Cluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Dienste an. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • autoscaling – Lesen und aktualisieren Sie die Konfiguration einer Auto-Scaling-Gruppe. Diese Berechtigungen werden von Amazon nicht verwendet, bleiben EKS aber aus Gründen der Abwärtskompatibilität in der Richtlinie enthalten.

  • ec2— Arbeiten Sie mit Volumes und Netzwerkressourcen, die EC2 Amazon-Knoten zugeordnet sind. Dies ist erforderlich, damit Kubernetes Die Kontrollebene kann Instances zu einem Cluster zusammenfügen und EBS Amazon-Volumes dynamisch bereitstellen und verwalten, die angefordert werden von Kubernetes persistente Volumes.

  • elasticloadbalancing – Arbeiten Sie mit Elastic Load Balancern und fügen Sie ihnen Knoten als Ziele hinzu. Dies ist erforderlich, damit Kubernetes Die Kontrollebene kann Elastic Load Balancer dynamisch bereitstellen, die angefordert werden von Kubernetes Dienste.

  • iam – Erstellen einer serviceverknüpften Rolle. Dies ist erforderlich, damit Kubernetes Die Kontrollebene kann Elastic Load Balancer dynamisch bereitstellen, die angefordert werden von Kubernetes Dienste.

  • kms – Lesen Sie einen Schlüssel von AWS KMS. Dies ist erforderlich für Kubernetes Steuerebene zur Unterstützung der Verschlüsselung geheimer Daten von Kubernetes Geheimnisse gespeichert inetcd.

Die neueste Version des JSON Richtliniendokuments finden Sie unter Eine mazonEKSCluster Richtlinie im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonEKSFargate PodExecutionRolePolicy

Sie können es AmazonEKSFargatePodExecutionRolePolicy an Ihre IAM Entitäten anhängen. Bevor Sie ein Fargate-Profil erstellen können, müssen Sie ein Fargate-Profil erstellen Pod Ausführungsrolle und fügen Sie ihr diese Richtlinie hinzu. Weitere Informationen erhalten Sie unter Schritt 2: Erstellen Sie ein Fargate Pod Ausführungsrolle und Definieren Sie, welche Pods Verwendung AWS Fargate beim Start verwendet wird.

Diese Richtlinie gewährt der Rolle die Berechtigungen, die den Zugriff auf andere AWS Serviceressourcen ermöglichen, die für den Betrieb von Amazon erforderlich sind. EKS Pods auf Fargate.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ecr— Ermöglicht Pods, die auf Fargate laufen, das Abrufen von Container-Images, die in Amazon ECR gespeichert sind.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSFargate PodExecutionRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonEKSFor FargateServiceRolePolicy

Sie können nichts AmazonEKSForFargateServiceRolePolicy an Ihre IAM Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter AWSServiceRoleforAmazonEKSForFargate.

Diese Richtlinie gewährt Amazon die erforderlichen Berechtigungen EKS zur Ausführung von Fargate-Aufgaben. Die Richtlinie wird nur verwendet, wenn Sie über Fargate-Knoten verfügen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

  • ec2 – Erstellen und löschen Sie Elastic Network Interfaces und beschreiben Sie Elastic Network Interfaces und Ressourcen. Dies ist erforderlich, damit der Amazon EKS Fargate-Service das VPC Netzwerk konfigurieren kann, das für Fargate Pods erforderlich ist.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSFor FargateServiceRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: Eine mazonEKSService Richtlinie

Sie können sie AmazonEKSServicePolicy an Ihre IAM Entitäten anhängen. Für Cluster, die vor dem 16. April 2020 erstellt wurden, mussten Sie eine IAM Rolle erstellen und ihr diese Richtlinie zuordnen. Für Cluster, die am oder nach dem 16. April 2020 erstellt wurden, müssen Sie keine Rolle erstellen und diese Richtlinie nicht zuweisen. Wenn Sie einen Cluster mit einem IAM Prinzipal erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, wird die AWS ServiceRoleforAmazonEKSserviceverknüpfte Rolle automatisch für Sie erstellt. An die serviceverknüpfte Rolle ist das AWS verwaltete Richtlinie: A mazonEKSService RolePolicy angehängt.

Diese Richtlinie ermöglicht es AmazonEKS, die für den Betrieb von EKS Amazon-Clustern erforderlichen Ressourcen zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

  • eks— Aktualisieren Sie die Kubernetes Version Ihres Clusters, nachdem Sie ein Update initiiert haben. Diese Berechtigung wird von Amazon nicht verwendet, bleibt EKS aber aus Gründen der Abwärtskompatibilität in der Richtlinie enthalten.

  • ec2 – Arbeiten Sie mit Elastic Network Interfaces und anderen Netzwerkressourcen und Tags. Dies wird von Amazon benötigtEKS, um Netzwerke zu konfigurieren, die die Kommunikation zwischen den Knoten und den Kubernetes Steuerebene.

  • route53— Ordnet eine VPC einer gehosteten Zone zu. Dies wird von Amazon benötigtEKS, um private Endpunktnetzwerke für Ihr Kubernetes APICluster-Server.

  • logs – Protokollereignisse Dies ist erforderlich, damit Amazon versenden EKS kann Kubernetes Die Kontrollebene meldet sich an CloudWatch.

  • iam – Erstellen einer serviceverknüpften Rolle. Dies ist erforderlich, damit Amazon die AWSServiceRoleForAmazonEKSserviceverknüpfte Rolle in Ihrem Namen erstellen EKS kann.

Die neueste Version des JSON Richtliniendokuments finden Sie unter Eine mazonEKSService Richtlinie im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonEKSService RolePolicy

Sie können nichts AmazonEKSServiceRolePolicy an Ihre IAM Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für Amazon EKS. Wenn Sie einen Cluster mit einem IAM Prinzipal erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, wird die AWS ServiceRoleforAmazonEKSserviceverknüpfte Rolle automatisch für Sie erstellt und diese Richtlinie wird ihr angehängt.

Diese Richtlinie ermöglicht es der dienstbezogenen Rolle, AWS Dienste in Ihrem Namen aufzurufen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

  • ec2— Erstellen und beschreiben Sie Elastic Network Interfaces und EC2 Amazon-Instances, die Cluster-Sicherheitsgruppe, VPC die für die Erstellung eines Clusters erforderlich sind.

  • iam— Listet alle verwalteten Richtlinien auf, die einer IAM Rolle zugeordnet sind. Dies ist erforderlich, damit Amazon alle verwalteten Richtlinien und Berechtigungen auflisten und validieren EKS kann, die für die Erstellung eines Clusters erforderlich sind.

  • Einer gehosteten Zone zuordnen — Dies ist von Amazon erforderlichEKS, um private Endpunktnetzwerke für Ihre VPC Kubernetes APICluster-Server.

  • Ereignis protokollieren — Dies ist erforderlich, damit Amazon versenden EKS kann Kubernetes Die Kontrollebene meldet sich an CloudWatch.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSService RolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: Ein mazonEKSVPCResource Controller

Sie können die AmazonEKSVPCResourceController Richtlinie an Ihre IAM Identitäten anhängen. Wenn Sie Sicherheitsgruppen verwenden für Pods, Sie müssen diese Richtlinie Ihrem beifügen, EKSIAMAmazon-Cluster-Rolle um Aktionen in Ihrem Namen durchführen zu können.

Diese Richtlinie gewährt der Clusterrolle Berechtigungen zum Verwalten von Elastic Network Interfaces und IP-Adressen für Knoten.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2— Verwaltung der zu unterstützenden Elastic Network-Schnittstellen und IP-Adressen Pod Sicherheitsgruppen und Windows Knoten.

Die neueste Version des JSON Richtliniendokuments finden Sie unter Ein mazonEKSVPCResource Controller im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonEKSWorker NodePolicy

Sie können die AmazonEKSWorkerNodePolicy an Ihre IAM Entitäten anhängen. Sie müssen diese Richtlinie einer IAMKnotenrolle zuordnen, die Sie angeben, wenn Sie EC2 Amazon-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen durchzuführen. Wenn Sie eine Knotengruppe mithilfe von erstelleneksctl, wird die IAM Knotenrolle erstellt und diese Richtlinie automatisch an die Rolle angehängt.

Diese Richtlinie gewährt EKS Amazon EC2 Amazon-Knoten die Erlaubnis, sich mit EKS Amazon-Clustern zu verbinden.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2 – Lesen Sie Informationen zum Instance-Volumen und zum Netzwerk. Dies ist erforderlich, damit Kubernetes Knoten können Informationen über EC2 Amazon-Ressourcen beschreiben, die erforderlich sind, damit der Knoten dem EKS Amazon-Cluster beitritt.

  • eks – Beschreiben Sie optional den Cluster als Teil des Knoten-Bootstrappings.

  • eks-auth:AssumeRoleForPodIdentity— Erlaubt das Abrufen von Anmeldeinformationen für EKS Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSWorker NodePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonEKSWorker NodeMinimalPolicy

Sie können die AmazonEKSWorkerNodeMinimalPolicy an Ihre IAM Entitäten anhängen. Sie können diese Richtlinie an eine IAMKnotenrolle anhängen, die Sie angeben, wenn Sie EC2 Amazon-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt EKS Amazon EC2 Amazon-Knoten die Erlaubnis, sich mit EKS Amazon-Clustern zu verbinden. Diese Richtlinie hat im Vergleich zu weniger BerechtigungenAmazonEKSWorkerNodePolicy.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • eks-auth:AssumeRoleForPodIdentity— Erlaubt das Abrufen von Anmeldeinformationen für EKS Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSWorker NodePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: AWSServiceRoleForAmazonEKSNodegroup

Sie können keine Verbindungen AWS ServiceRoleForAmazonEKSNodegroup zu Ihren IAM Entitäten herstellen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Servicebezogene Rollenberechtigungen für Amazon EKS.

Diese Richtlinie gewährt der AWS ServiceRoleForAmazonEKSNodegroup Rolle Berechtigungen, die es ihr ermöglichen, EC2 Amazon-Knotengruppen in Ihrem Konto zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2— Arbeiten Sie mit Sicherheitsgruppen, Tags, Kapazitätsreservierungen und Startvorlagen. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Konfiguration des Fernzugriffs zu ermöglichen und Kapazitätsreservierungen zu beschreiben, die in verwalteten Knotengruppen verwendet werden können. Darüber hinaus erstellen von Amazon EKS verwaltete Knotengruppen in Ihrem Namen eine Startvorlage. Dies dient dazu, die Amazon EC2 Auto Scaling Scaling-Gruppe zu konfigurieren, die jede verwaltete Knotengruppe unterstützt.

  • iam – Erstellen einer serviceverknüpften Rolle und Übergeben einer Rolle. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um Instanzprofile für die Rolle zu verwalten, die beim Erstellen einer verwalteten Knotengruppe übergeben wird. Dieses Instance-Profil wird von EC2 Amazon-Instances verwendet, die als Teil einer verwalteten Knotengruppe gestartet wurden. Amazon EKS muss serviceverknüpfte Rollen für andere Services wie Amazon EC2 Auto Scaling Scaling-Gruppen erstellen. Diese Berechtigungen werden bei der Erstellung einer verwalteten Knotengruppe verwendet.

  • autoscaling – Arbeiten Sie mit Sicherheitsgruppen für Auto Scaling. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Amazon EC2 Auto Scaling Scaling-Gruppe zu verwalten, die jede verwaltete Knotengruppe unterstützt. Es wird auch verwendet, um Funktionen wie Räumung zu unterstützen Pods wenn Knoten während Knotengruppen-Updates beendet oder wiederverwendet werden.

Die neueste Version des JSON Richtliniendokuments finden Sie AWSServiceRoleForAmazonEKSNodegroupim Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: Eine mazonEBSCSIDriver Richtlinie

Die AmazonEBSCSIDriverPolicy Richtlinie ermöglicht es dem Amazon EBS Container Storage Interface (CSI) -Treiber, Volumes in Ihrem Namen zu erstellen, zu ändern, anzuhängen, zu trennen und zu löschen. Sie gewährt dem EBS CSI Treiber auch die Berechtigung, Snapshots zu erstellen und zu löschen und Ihre Instances, Volumes und Snapshots aufzulisten.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEBSCSIDriver ServiceRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: Eine mazonEFSCSIDriver Richtlinie

Die AmazonEFSCSIDriverPolicy Richtlinie ermöglicht es dem Amazon EFS Container Storage Interface (CSI), Access Points in Ihrem Namen zu erstellen und zu löschen. Es gewährt dem EFS CSI Amazon-Treiber auch die Berechtigung, Ihre Access Points, Dateisysteme, Mount-Ziele und EC2 Amazon-Verfügbarkeitszonen aufzulisten.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEFSCSIDriver ServiceRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

AWS verwaltete Richtlinie: A mazonEKSLocal OutpostClusterPolicy

Sie können diese Richtlinie IAM Entitäten zuordnen. Bevor Sie einen lokalen Cluster erstellen, müssen Sie diese Richtlinie an Ihre Clusterrolle anhängen. Kubernetes Cluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Dienste an. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Die AmazonEKSLocalOutpostClusterPolicy umfasst folgende Berechtigungen.

  • ec2— Erforderliche Berechtigungen für EC2 Amazon-Instances, um dem Cluster erfolgreich als Kontrollebene-Instances beizutreten.

  • ssm— Ermöglicht Amazon EC2 Systems Manager Manager-Verbindung zur Kontrollebene-Instance, die von Amazon für EKS die Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.

  • logs— Ermöglicht Instances, Logs an Amazon zu übertragen CloudWatch.

  • secretsmanager— Ermöglicht Instances das sichere Abrufen und Löschen von AWS Secrets Manager Bootstrap-Daten für Instances auf der Kontrollebene.

  • ecr— Erlaubt Pods und Container, die auf den Instances der Kontrollebene ausgeführt werden, um Container-Images abzurufen, die in Amazon Elastic Container Registry gespeichert sind.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSLocal OutpostClusterPolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: A mazonEKSLocal OutpostServiceRolePolicy

Sie können diese Richtlinie nicht an Ihre IAM Entitäten anhängen. Wenn Sie einen Cluster mit einem IAM Principal erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, erstellt Amazon EKS automatisch die AWSServiceRoleforAmazonEKSLocalOutpostserviceverknüpfte Rolle für Sie und fügt ihr diese Richtlinie hinzu. Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, in Ihrem Namen AWS Dienste für lokale Cluster aufzurufen.

Die AmazonEKSLocalOutpostServiceRolePolicy umfasst folgende Berechtigungen.

  • ec2— Ermöglicht Amazon, mit Sicherheits-, Netzwerk- und anderen Ressourcen EKS zu arbeiten, um Kontrollebeneninstanzen in Ihrem Konto erfolgreich zu starten und zu verwalten.

  • ssm— Ermöglicht Amazon EC2 Systems Manager eine Verbindung zu den Instances der Kontrollebene, die von Amazon für EKS die Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.

  • iam— Ermöglicht AmazonEKS, das Instance-Profil zu verwalten, das den Instances der Kontrollebene zugeordnet ist.

  • secretsmanager— Ermöglicht AmazonEKS, Bootstrap-Daten für die Instances auf der Kontrollebene zu speichern, AWS Secrets Manager sodass sie beim Instance-Bootstrapping sicher referenziert werden können.

  • outposts— Ermöglicht AmazonEKS, Outpost-Informationen von Ihrem Konto abzurufen, um erfolgreich einen lokalen Cluster in einem Outpost zu starten.

Die neueste Version des JSON Richtliniendokuments finden Sie unter A mazonEKSLocal OutpostServiceRolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

EKSAktualisierungen der AWS verwalteten Richtlinien durch Amazon

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon an, EKS seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten, abonnieren Sie den RSS Feed auf der Amazon EKS Document-Verlaufsseite.

Änderung Beschreibung Datum

A eingeführt mazonEKSWorkerNodeMinimalPolicy.

AWS führte das einAmazonEKSWorkerNodeMinimalPolicy.

 3. Oktober 2024

Es wurden Berechtigungen für hinzugefügt AWSServiceRoleForAmazonEKSNodegroup.

Es wurden autoscaling:SuspendProcesses Berechtigungen hinzugefügtautoscaling:ResumeProcesses, die es Amazon ermöglichen, AZRebalance in von Amazon EKS verwalteten Auto Scaling Scaling-Gruppen EKS zu unterbrechen und wieder aufzunehmen.

 21. August 2024

Es wurden Berechtigungen für hinzugefügt AWSServiceRoleForAmazonEKSNodegroup.

Es wurde die ec2:DescribeCapacityReservations Erlaubnis hinzugefügtEKS, dass Amazon die Kapazitätsreservierung im Benutzerkonto beschreiben kann. Es wurde die autoscaling:PutScheduledUpdateGroupAction Berechtigung hinzugefügt, die Einstellung der geplanten Skalierung für CAPACITY_BLOCK Knotengruppen zu aktivieren.

 27. Juni 2024

Amazon EKS _ CNI _Policy — Aktualisierung einer bestehenden Richtlinie

Amazon EKS hat neue ec2:DescribeSubnets Berechtigungen hinzugefügt, um das zu ermöglichen Amazon VPC CNI plugin for Kubernetes um die Anzahl der freien IP-Adressen in Ihren VPC Amazon-Subnetzen zu sehen.

Sie VPC CNI können die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen auszuwählen, die bei der Erstellung einer elastischen Netzwerkschnittstelle verwendet werden sollen.

 4. März 2024

A mazonEKSWorker NodePolicy — Aktualisierung einer bestehenden Richtlinie

Amazon EKS hat neue Berechtigungen hinzugefügt, um EKS Pod-Identitäten zuzulassen.

Der Amazon EKS Pod Identity Agent verwendet die Knotenrolle.

 26. November 2023

Eine mazonEFSCSIDriver Richtlinie eingeführt.

AWS führte das einAmazonEFSCSIDriverPolicy.

 26. Juli 2023

Berechtigungen zu einer mazonEKSCluster Richtlinie hinzugefügt.

Es wurde die ec2:DescribeAvailabilityZones Erlaubnis hinzugefügt, dass Amazon EKS die AZ-Details während der automatischen Subnetzerkennung beim Erstellen von Load Balancern abrufen kann.

 07. Februar 2023

Die Richtlinienbedingungen in einer Richtlinie wurden aktualisiert. mazonEBSCSIDriver

Ungültige Richtlinienbedingungen mit Platzhalterzeichen im StringLike-Schlüsselfeld wurden entfernt. Außerdem wurde eine neue Bedingung ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" hinzugefügtec2:DeleteVolume, die es dem EBS CSI Treiber ermöglicht, Volumes zu löschen, die vom In-Tree-Plugin erstellt wurden.

 17. November 2022

Berechtigungen zu A mazonEKSLocal OutpostServiceRolePolicy hinzugefügt.

ec2:DescribeVPCAttribute, ec2:GetConsoleOutput und ec2:DescribeSecret wurden hinzugefügt, um eine bessere Validierung der Voraussetzungen und eine bessere Kontrolle des Lebenszyklus zu ermöglichen. Außerdem wurde ec2:DescribePlacementGroups und hinzugefügt"arn:aws:ec2:*:*:placement-group/*", ec2:RunInstances um die Platzierungskontrolle der EC2 Amazon-Instances auf der Kontrollebene auf Outposts zu unterstützen.

 24. Oktober 2022

Aktualisieren Sie die Amazon Elastic Container Registry-Berechtigungen in mazonEKSLocalOutpostClusterPolicyA.

Die Aktion ecr:GetDownloadUrlForLayer wurde von allen Ressourcenabschnitten in einen Bereich mit begrenztem Umfang verschoben. Ressource arn:aws:ecr:*:*:repository/eks/* wurde hinzugefügt. Entfernen Sie die Ressource arn:aws:ecr:*:*:repository/eks/eks-certificates-controller-public. Diese Ressource wird durch die hinzugefügte arn:aws:ecr:*:*:repository/eks/*-Ressource abgedeckt.

 20. Oktober 2022

Berechtigungen zu A hinzugefügt mazonEKSLocalOutpostClusterPolicy.

Das arn:aws:ecr:*:*:repository/kubelet-config-updater Repository der Amazon-Elastic-Container-Registry wurde hinzugefügt, damit die Cluster-Steuerebenen-Instances einige kubelet-Argumente aktualisieren können.

 31. August 2022

A eingeführt mazonEKSLocalOutpostClusterPolicy.

AWS führte das einAmazonEKSLocalOutpostClusterPolicy.

 24. August 2022

Hat A eingeführt mazonEKSLocalOutpostServiceRolePolicy.

AWS führte das einAmazonEKSLocalOutpostServiceRolePolicy.

 23. August 2022

Hat eine mazonEBSCSIDriver Richtlinie eingeführt.

AWS führte das einAmazonEBSCSIDriverPolicy.

 4. April 2022

Berechtigungen zu A hinzugefügt mazonEKSWorkerNodePolicy.

Hinzugefügtec2:DescribeInstanceTypes, um EKS Amazon-Optimized zu aktivierenAMIs, das Eigenschaften auf Instanzebene auto erkennen kann.

 21. März 2022

Berechtigungen wurden hinzugefügt zu. AWSServiceRoleForAmazonEKSNodegroup

Es wurde die autoscaling:EnableMetricsCollection Erlaubnis hinzugefügt, Amazon EKS die Erfassung von Metriken zu ermöglichen.

13. Dezember 2021

Berechtigungen zu einer mazonEKSCluster Richtlinie hinzugefügt.

Es wurden ec2:DescribeInternetGateways Berechtigungen hinzugefügt ec2:DescribeAccountAttributesec2:DescribeAddresses, die es Amazon ermöglichen, eine serviceverknüpfte Rolle für einen Network Load Balancer EKS zu erstellen.

 17. Juni 2021

Amazon EKS hat begonnen, Änderungen zu verfolgen.

Amazon EKS hat damit begonnen, Änderungen an seinen AWS verwalteten Richtlinien nachzuverfolgen.

 17. Juni 2021