**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS verwaltete Richtlinien für Amazon Elastic Kubernetes Service
<a name="security-iam-awsmanpol"></a>

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn ein neuer AWS Dienst gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: Amazoneks\$1CNI\$1Policy
<a name="security-iam-awsmanpol-amazoneks-cni-policy"></a>

Sie können die `AmazonEKS_CNI_Policy` an Ihre IAM-Entitäten anhängen. Bevor Sie eine Amazon-EC2-Knotengruppe erstellen, muss diese Richtlinie entweder an die [Knoten-IAM-Rolle](create-node-role.md) oder an eine IAM-Rolle angefügt werden, die speziell vom Amazon-VPC-CNI-Plugin für Kubernetes verwendet wird. Dies dient dazu, Aktionen in Ihrem Namen auszuführen. Wir empfehlen, dass Sie die Richtlinie einer Rolle anfügen, die nur vom Plugin verwendet wird. Weitere Informationen erhalten Sie unter [Pods mit dem Amazon VPC CNI zuweisen IPs](managing-vpc-cni.md) und [Konfiguration des Amazon-VPC-CNI-Plugins für die Verwendung von IRSA](cni-iam-role.md).

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `ec2:*NetworkInterface` und `ec2:*PrivateIpAddresses` ** – Ermöglicht dem Amazon-VPC-CNI-Plugin, Aktionen wie die Bereitstellung von Elastic Network Interfaces und IP-Adressen für Pods auszuführen, um Netzwerke für Anwendungen bereitzustellen, die in Amazon EKS ausgeführt werden.
+  ** `ec2`-Leseaktionen** – Ermöglicht dem Amazon-VPC-CNI-Plugin, Aktionen wie das Beschreiben von Instances und Subnetzen auszuführen, um die Anzahl der freien IP-Adressen in Ihren Amazon-VPC-Subnetzen anzuzeigen. Das VPC CNI kann die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen für die Erstellung einer elastischen Netzwerkschnittstelle auszuwählen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [AmazonEKS\$1CNI\$1Policy im Managed Policy Reference Guide](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html#AmazonEKS_CNI_Policy-json). AWS 

## AWS verwaltete Richtlinie: EKSCluster Amazon-Richtlinie
<a name="security-iam-awsmanpol-amazoneksclusterpolicy"></a>

Sie können `AmazonEKSClusterPolicy` an Ihre IAM-Entitäten anhängen. Bevor Sie einen Cluster erstellen, müssen Sie über eine [Cluster-IAM-Rolle](cluster-iam-role.md) mit dieser angehängten Richtlinie verfügen. Kubernetes-Cluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Services auf. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `autoscaling` ** – Lesen und aktualisieren Sie die Konfiguration einer Auto-Scaling-Gruppe. Diese Berechtigungen werden von Amazon EKS nicht verwendet, verbleiben jedoch aus Gründen der Abwärtskompatibilität in der Richtlinie.
+  ** `ec2` ** – Arbeiten Sie mit Volumes und Netzwerkressourcen, die Amazon-EC2-Knoten zugeordnet sind. Dies ist erforderlich, damit die Kubernetes-Steuerebene Instances zu einem Cluster verbinden und von persistenten Kubernetes-Volumes angeforderte Amazon-EBS-Volumes dynamisch bereitstellen und verwalten kann.
+  ** `ec2` ** – Löschen Sie elastische Netzwerkschnittstellen, die vom VPC CNI erstellt wurden. Dies ist erforderlich, damit EKS elastische Netzwerkschnittstellen bereinigen kann, die zurückbleiben, wenn das VPC CNI unerwartet beendet wird.
+  ** `elasticloadbalancing` ** – Arbeiten Sie mit Elastic Load Balancern und fügen Sie ihnen Knoten als Ziele hinzu. Dies ist erforderlich, damit die Kubernetes-Steuerebene von Kubernetes-Diensten angeforderte Elastic Load Balancer dynamisch bereitstellen kann.
+  ** `iam` ** – Erstellen Sie eine serviceverknüpfte Rolle. Dies ist erforderlich, damit die Kubernetes-Steuerebene von Kubernetes-Services angeforderte Elastic Load Balancer dynamisch bereitstellen kann.
+  **`kms`**— Liest einen Schlüssel von AWS KMS. Dies ist erforderlich, damit die Kubernetes-Steuerebene die [Secrets-Verschlüsselung](https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/) von Kubernetes-Secrets unterstützt, die in `etcd` gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EKSCluster Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html#AmazonEKSClusterPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSDashboard ConsoleReadOnly
<a name="security-iam-awsmanpol-amazoneksdashboardconsolereadonly"></a>

Sie können `AmazonEKSDashboardConsoleReadOnly` an Ihre IAM-Entitäten anhängen.

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `eks` ** – Nur-Lese-Zugriff auf EKS-Dashboard-Daten, Ressourcen und Informationen zu Cluster-Versionen. Dies ermöglicht die Anzeige von EKS-bezogenen Metriken und Details zur Cluster-Konfiguration.
+  **`organizations`**- Schreibgeschützter Zugriff auf Unternehmensinformationen AWS , einschließlich:
  + Anzeigen von Organisationsdetails und Servicezugriff
  + Auflisten von Organisations-Roots, Konten und Organisationseinheiten
  + Anzeigen der Organisationsstruktur

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSDashboard ConsoleReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardConsoleReadOnly.html#AmazonEKSDashboardConsoleReadOnly-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSFargate PodExecutionRolePolicy
<a name="security-iam-awsmanpol-amazoneksfargatepodexecutionrolepolicy"></a>

Sie können `AmazonEKSFargatePodExecutionRolePolicy` an Ihre IAM-Entitäten anhängen. Bevor Sie ein Fargate-Profil erstellen können, müssen Sie eine Fargate-Pod-Ausführungsrolle erstellen und diese Richtlinie an diese anfügen. Weitere Informationen erhalten Sie unter [Schritt 2: Fargate-Pod-Ausführungsrolle erstellen](fargate-getting-started.md#fargate-sg-pod-execution-role) und [Festlegung, welche Pods beim Start AWS Fargate verwenden](fargate-profile.md).

Diese Richtlinie gewährt der Rolle die Berechtigungen, die den Zugriff auf andere AWS Serviceressourcen ermöglichen, die für die Ausführung von Amazon EKS-Pods auf Fargate erforderlich sind.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `ecr` ** – Ermöglicht Pods, die auf Fargate ausgeführt werden, Container-Images abzurufen, die in Amazon ECR gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSFargate PodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html#AmazonEKSFargatePodExecutionRolePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSConnector ServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonEKSConnectorServiceRolePolicy"></a>

Sie können `AmazonEKSConnectorServiceRolePolicy` nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Verbinden eines Kubernetes-Clusters mithilfe von Rollen mit Amazon EKS](using-service-linked-roles-eks-connector.md).

Diese Rolle ermöglicht es Amazon EKS, Kubernetes-Cluster zu verbinden. Die angefügten Richtlinien ermöglichen es der Rolle, die erforderlichen Ressourcen für die Verbindung mit Ihrem registrierten Kubernetes-Cluster zu verwalten.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.
+  **`SSM Management`**— SSM-Aktivierungen erstellen, beschreiben und löschen und verwaltete Instances deregistrieren. Dies ermöglicht grundlegende Systems Manager Manager-Operationen.
+  **`Session Management`**— Starten Sie SSM-Sitzungen speziell für EKS-Cluster und führen Sie nicht interaktive Befehle mithilfe des AmazonEKS-Dokuments aus.
+  **`IAM Role Passing`**— Übergeben Sie IAM-Rollen speziell an den SSM-Dienst. Dies wird durch eine Bedingung gesteuert, die die übergebenen Rollen auf beschränkt. `ssm.amazonaws.com`
+  **`EventBridge Rules`**— Erstellen Sie EventBridge Regeln und Ziele, aber nur, wenn diese von verwaltet werden. `eks-connector.amazonaws.com` Regeln sind speziell auf AWS SSM als Ereignisquelle beschränkt.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSConnector ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSConnectorServiceRolePolicy.html) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSFor FargateServiceRolePolicy
<a name="security-iam-awsmanpol-amazoneksforfargateservicerolepolicy"></a>

Sie können `AmazonEKSForFargateServiceRolePolicy` nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter `AWSServiceRoleforAmazonEKSForFargate`.

Diese Richtlinie erteilt Amazon EKS die erforderlichen Berechtigungen zum Ausführen von Fargate-Aufgaben. Die Richtlinie wird nur verwendet, wenn Sie über Fargate-Knoten verfügen.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.
+  ** `ec2` ** – Erstellen und löschen Sie Elastic Network Interfaces und beschreiben Sie Elastic Network Interfaces und Ressourcen. Dies ist erforderlich, damit der Amazon-EKS-Fargate-Service das für Fargate-Pods erforderliche VPC-Netzwerk konfigurieren kann.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSFor FargateServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSForFargateServiceRolePolicy.html#AmazonEKSForFargateServiceRolePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie
<a name="security-iam-awsmanpol-AmazonEKSComputePolicy"></a>

Sie können `AmazonEKSComputePolicy` an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre [Cluster-IAM-Rolle](cluster-iam-role.md) anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese Richtlinie gewährt die erforderlichen Berechtigungen für Amazon EKS zum Erstellen und Verwalten von EC2-Instances für den EKS-Cluster sowie die erforderlichen IAM-Berechtigungen zum Konfigurieren von EC2. Außerdem gewährt diese Richtlinie Amazon EKS die Berechtigung, die serviceverknüpfte EC2-Spot-Rolle in Ihrem Namen zu erstellen.

### Details zu Berechtigungen
<a name="_permissions_details"></a>

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `ec2`-Berechtigungen**:
  +  `ec2:CreateFleet` und `ec2:RunInstances` – Ermöglicht das Erstellen von EC2-Instances und die Verwendung spezifischer EC2-Ressourcen (Images, Sicherheitsgruppen, Subnetze) für EKS-Cluster-Knoten.
  +  `ec2:CreateLaunchTemplate` – Ermöglicht das Erstellen von EC2-Startvorlagen für EKS-Cluster-Knoten.
  + Die Richtlinie enthält auch Bedingungen, um die Verwendung dieser EC2-Berechtigungen auf Ressourcen zu beschränken, die mit dem EKS-Cluster-Namen und anderen relevanten Tags gekennzeichnet sind.
  +  `ec2:CreateTags` – Ermöglicht das Hinzufügen von Tags zu EC2-Ressourcen, die mit den Aktionen `CreateFleet`, `RunInstances`, und `CreateLaunchTemplate` erstellt wurden.
+  ** `iam`-Berechtigungen**:
  +  `iam:AddRoleToInstanceProfile` – Ermöglicht das Hinzufügen einer IAM-Rolle zum EKS-Rechen-Instance-Profil.
  +  `iam:PassRole` – Ermöglicht die Übergabe der erforderlichen IAM-Rollen an den EC2-Service.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EKSCompute Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSComputePolicy.html#AmazonEKSComputePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: EKSNetworking Amazon-Richtlinie
<a name="security-iam-awsmanpol-AmazonEKSNetworkingPolicy"></a>

Sie können `AmazonEKSNetworkingPolicy` an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre [Cluster-IAM-Rolle](cluster-iam-role.md) anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese Richtlinie dient dazu, Amazon EKS die erforderlichen Berechtigungen zum Erstellen und Verwalten von Netzwerkschnittstellen für den EKS-Cluster zu gewähren, sodass die Steuerebene und die Worker-Knoten ordnungsgemäß kommunizieren und funktionieren können.

### Details zu Berechtigungen
<a name="_permissions_details_2"></a>

Diese Richtlinie gewährt die folgenden Berechtigungen, damit Amazon EKS Netzwerkschnittstellen für den Cluster verwalten kann:
+  ** `ec2`-Netzwerkschnittstellen-Berechtigungen**:
  +  `ec2:CreateNetworkInterface` – Ermöglicht das Erstellen von EC2-Netzwerkschnittstellen.
  + Die Richtlinie enthält Bedingungen, um die Verwendung dieser Berechtigung auf Netzwerkschnittstellen zu beschränken, die mit dem EKS-Cluster-Namen und dem Kubernetes CNI-Knotennamen gekennzeichnet sind.
  +  `ec2:CreateTags` – Ermöglicht das Hinzufügen von Tags zu den durch die `CreateNetworkInterface`-Aktion erstellten Netzwerkschnittstellen.
+  ** Berechtigungen zur `ec2`-Netzwerkschnittstellenverwaltung:**:
  +  `ec2:AttachNetworkInterface`,`ec2:ModifyNetworkInterfaceAttribute`, `ec2:DetachNetworkInterface` - Ermöglicht das Anhängen, Ändern von Netzwerkschnittstellenattributen und das Trennen von Netzwerkschnittstellen an EC2-Instances.
  +  `ec2:UnassignPrivateIpAddresses`, `ec2:UnassignIpv6Addresses`, `ec2:AssignPrivateIpAddresses`, `ec2:AssignIpv6Addresses` – Ermöglicht die Verwaltung der IP-Adresszuweisungen der Netzwerkschnittstellen.
  + Diese Berechtigungen sind auf Netzwerkschnittstellen beschränkt, die mit dem EKS-Cluster-Namen gekennzeichnet sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EKSNetworking Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSNetworkingPolicy.html#AmazonEKSNetworkingPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSBlock StoragePolicy
<a name="security-iam-awsmanpol-AmazonEKSBlockStoragePolicy"></a>

Sie können `AmazonEKSBlockStoragePolicy` an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre [Cluster-IAM-Rolle](cluster-iam-role.md) anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese Richtlinie gewährt Amazon EKS die erforderlichen Berechtigungen zum Erstellen, Verwalten und Verwalten von EC2-Volumes und Snapshots für den EKS-Cluster. Auf diese Weise können die Steuerebene und die Worker-Knoten persistenten Speicher bereitstellen und verwenden, wie es für Kubernetes-Workloads erforderlich ist.

### Details zu Berechtigungen
<a name="_permissions_details_3"></a>

Diese IAM-Richtlinie gewährt die folgenden Berechtigungen, damit Amazon EKS EC2-Volumes und Snapshots verwalten kann:
+  ** Berechtigung für die Verwaltung von `ec2`-Volumes**:
  +  `ec2:AttachVolume`, `ec2:DetachVolume`, `ec2:ModifyVolume`, `ec2:EnableFastSnapshotRestores` – Ermöglicht das Anfügen, Entfernen, Ändern und Aktivieren einer schnellen Snapshot-Wiederherstellung für EC2-Volumes.
  + Diese Berechtigungen sind auf Volumes beschränkt, die mit dem EKS-Cluster-Namen gekennzeichnet sind.
  +  `ec2:CreateTags` – Ermöglicht das Hinzufügen von Tags zu den EC2-Volumes und Snapshots, die durch die Aktionen `CreateVolume` und `CreateSnapshot` erstellt wurden.
+  ** Berechtigungen zur Erstellung von `ec2`-Volumes**:
  +  `ec2:CreateVolume` – Ermöglicht die Erstellung neuer EC2-Volumes.
  + Die Richtlinie enthält Bedingungen, welche die Verwendung dieser Berechtigung auf Volumes beschränken, die mit dem EKS-Cluster-Namen und anderen relevanten Tags gekennzeichnet sind.
  +  `ec2:CreateSnapshot` – Ermöglicht die Erstellung neuer EC2-Volume-Snapshots.
  + Die Richtlinie enthält Bedingungen, welche die Verwendung dieser Berechtigung auf Snapshots beschränken, die mit dem EKS-Cluster-Namen und anderen relevanten Tags gekennzeichnet sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSBlock StoragePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSBlockStoragePolicy.html#AmazonEKSBlockStoragePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy
<a name="security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy"></a>

Sie können `AmazonEKSLoadBalancingPolicy` an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre [Cluster-IAM-Rolle](cluster-iam-role.md) anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese IAM-Richtlinie gewährt Amazon EKS die erforderlichen Berechtigungen für die Zusammenarbeit mit verschiedenen AWS Diensten zur Verwaltung von Elastic Load Balancers (ELBs) und verwandten Ressourcen.

### Details zu Berechtigungen
<a name="_permissions_details_4"></a>

Die wichtigsten durch diese Richtlinie gewährten Berechtigungen sind:
+  ** `elasticloadbalancing` **: Ermöglicht das Erstellen, Ändern und Verwalten von Elastic Load Balancern und Zielgruppen. Dies umfasst Berechtigungen zum Erstellen, Aktualisieren und Löschen von Load Balancern, Zielgruppen, Listenern und Regeln.
+  ** `ec2` **: Ermöglicht das Erstellen und Verwalten von Sicherheitsgruppen, die für die Kubernetes-Steuerebene erforderlich sind, um Instances einem Cluster hinzuzufügen und Amazon-EBS-Volumes zu verwalten. Ermöglicht auch die Beschreibung und Auflistung von EC2-Ressourcen wie Instances, Subnetzen VPCs, Sicherheitsgruppen und anderen Netzwerkressourcen.
+  **`iam`**: Ermöglicht die Erstellung einer serviceverknüpften Rolle für Elastic Load Balancing, die für die dynamische Bereitstellung durch die Kubernetes-Steuerebene erforderlich ist. ELBs
+  **`kms`**: Ermöglicht das Lesen eines Schlüssels aus AWS KMS, der erforderlich ist, damit die Kubernetes-Steuerebene die Verschlüsselung von in etcd gespeicherten Kubernetes-Geheimnissen unterstützt.
+  **`wafv2`**und **`shield`**: Ermöglicht das Zuordnen und Trennen von ACLs Webanwendungen und das Erstellen/Löschen von AWS Shield-Schutzmaßnahmen für die Elastic Load Balancer.
+  ** `cognito-idp` **, ** `acm` ** und ** `elasticloadbalancing` **: Gewährt Berechtigungen zum Beschreiben von Benutzerpool-Clients, zum Auflisten und Beschreiben von Zertifikaten sowie zum Beschreiben von Zielgruppen, die für die Kubernetes-Steuerebene zur Verwaltung der Elastic Load Balancers erforderlich sind.

Die Richtlinie umfasst auch mehrere Bedingungsprüfungen, um sicherzustellen, dass die Berechtigungen mithilfe des Tags `eks:eks-cluster-name` auf den spezifischen verwalteten EKS-Cluster beschränkt sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSLoad BalancingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLoadBalancingPolicy.html#AmazonEKSLoadBalancingPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSMCPRead OnlyAccess
<a name="security-iam-awsmanpol-amazoneksmcpreadonlyaccess"></a>

Sie können `AmazonEKSMCPReadOnlyAccess` an Ihre IAM-Entitäten anhängen. Diese Richtlinie bietet Lesezugriff auf Amazon EKS-Ressourcen und zugehörige AWS Services, sodass der Amazon EKS Model Context Protocol (MCP) -Server Beobachtbarkeits- und Fehlerbehebungsvorgänge durchführen kann, ohne Änderungen an Ihrer Infrastruktur vornehmen zu müssen.

 **Details zu Berechtigungen** 

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen Principals die folgenden Aufgaben ausführen können:
+  **`eks`**Ermöglicht Prinzipalen, EKS-Cluster, Knotengruppen, Add-Ons, Zugriffseinträge und Einblicke zu beschreiben und aufzulisten und auf die Kubernetes-API für schreibgeschützte Operationen zuzugreifen.
+  **`iam`**Ermöglicht Prinzipalen das Abrufen von Informationen über IAM-Rollen, -Richtlinien und deren Anlagen, um die mit EKS-Ressourcen verknüpften Berechtigungen zu verstehen.
+  **`ec2`**Ermöglicht es Prinzipalen VPCs, Subnetze und Routing-Tabellen zu beschreiben, um die Netzwerkkonfiguration von EKS-Clustern zu verstehen.
+  **`sts`**Ermöglicht Prinzipalen das Abrufen von Anruferidentitätsinformationen zu Authentifizierungs- und Autorisierungszwecken.
+  **`logs`**Ermöglicht es den Prinzipalen, Abfragen zu starten und Abfrageergebnisse zur Problembehandlung und Überwachung aus CloudWatch Protokollen abzurufen.
+  **`cloudwatch`**Ermöglicht Prinzipalen das Abrufen von Metrikdaten zur Überwachung der Cluster- und Workload-Leistung.
+  **`eks-mcp`**Ermöglicht Prinzipalen das Aufrufen von MCP-Vorgängen und das Aufrufen von schreibgeschützten Tools innerhalb des Amazon EKS MCP-Servers.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSMCPRead OnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSMCPReadOnlyAccess.html) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: EKSService Amazon-Richtlinie
<a name="security-iam-awsmanpol-amazoneksservicepolicy"></a>

Sie können `AmazonEKSServicePolicy` an Ihre IAM-Entitäten anhängen. Für Cluster, die vor dem 16. April 2020 erstellt wurden, mussten Sie eine IAM-Rolle erstellen und diese Richtlinie anhängen. Cluster, die am oder nach dem 16. April 2020 erstellt wurden, erfordern weder die Erstellung einer Rolle noch die Zuweisung dieser Richtlinie. Wenn Sie einen Cluster mithilfe eines IAM-Prinzipals erstellen, der über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügt, wird die mit dem Dienst verknüpfte [AWSServiceRoleforAmazonEKS-Rolle](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) automatisch für Sie erstellt. Der serviceverknüpften Rolle ist die [verwaltete Richtlinie: Amazon EKSService RolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy) zugeordnet.

Diese Richtlinie ermöglicht Amazon EKS, die erforderlichen Ressourcen für den Betrieb von Amazon-EKS-Clustern zu erstellen und zu verwalten.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.
+  ** `eks` ** – Aktualisieren Sie die Kubernetes-Version Ihres Clusters, nachdem Sie ein Update initiiert haben. Diese Berechtigung wird von Amazon EKS nicht verwendet, verbleibt jedoch aus Gründen der Abwärtskompatibilität in der Richtlinie.
+  ** `ec2` ** – Arbeiten Sie mit Elastic Network Interfaces und anderen Netzwerkressourcen und Tags. Dies wird von Amazon EKS benötigt, um ein Netzwerk zu konfigurieren, das die Kommunikation zwischen Knoten und der Kubernetes-Steuerebene erleichtert. Lesen Sie die Informationen zu Sicherheitsgruppen. Aktualisieren Sie Tags für Sicherheitsgruppen.
+  ** `route53` ** – Verknüpfen Sie eine VPC mit einer gehosteten Zone. Dies wird von Amazon EKS benötigt, um ein privates Endpunktnetzwerk für Ihren Kubernetes-Cluster-API-Server zu aktivieren.
+  ** `logs` ** – Protokollereignisse Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes-Steuerebene an senden kann. CloudWatch
+  ** `iam` ** – Erstellen Sie eine serviceverknüpfte Rolle. Dies ist erforderlich, damit Amazon EKS die serviceverknüpfte [Serviceverknüpfte Rollenberechtigungen für Amazon EKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks)-Rolle in Ihrem Namen erstellt.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EKSService Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html#AmazonEKSServicePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSService RolePolicy
<a name="security-iam-awsmanpol-amazoneksservicerolepolicy"></a>

Sie können `AmazonEKSServiceRolePolicy` nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigungen für Amazon EKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks). Wenn Sie einen Cluster mithilfe eines IAM-Prinzipals erstellen, der über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügt, wird die mit dem Dienst verknüpfte [AWSServiceRoleforAmazonEKS-Rolle](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) automatisch für Sie erstellt, und diese Richtlinie wird ihr angehängt.

Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, AWS Dienste in Ihrem Namen aufzurufen.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.
+  ** `ec2` ** – Erstellen und Beschreiben Sie Elastic Network Interfaces und Amazon-EC2-Instances, der Cluster-Sicherheitsgruppe und der VPC, die für die Cluster-Erstellung erforderlich sind. Weitere Informationen finden Sie unter [Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen](sec-group-reqs.md). Lesen Sie die Informationen zu Sicherheitsgruppen. Aktualisieren Sie Tags für Sicherheitsgruppen. Weitere Informationen zu On-Demand-Kapazitätsreservierungen. Lesen Sie die VPC-Konfiguration einschließlich Routentabellen und Netzwerk ACLs , um Konfigurationsprobleme im Rahmen von Cluster-Insights zu erkennen.
+  ** `ec2` Auto Mode** – Beenden Sie vom EKS Auto Mode erstellte EC2-Instances. Weitere Informationen finden Sie unter [Automatisieren der Cluster-Infrastruktur mit dem EKS-Automatikmodus](automode.md).
+  ** `iam` ** – Listen Sie alle verwalteten Richtlinien auf, die einer IAM-Rolle zugeordnet sind. Dies ist erforderlich, damit Amazon EKS alle verwalteten Richtlinien und Berechtigungen auflisten und validieren kann, die zum Erstellen von Clustern erforderlich sind.
+  **Eine VPC mit einer gehosteten Zone verknüpfen** – Dies wird von Amazon EKS benötigt, um ein privates Endpunktnetzwerk für Ihren Kubernetes-Cluster-API-Server zu aktivieren.
+  **Ereignis protokollieren** — Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes-Steuerebene an senden kann. CloudWatch
+  **Metrik angeben** — Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes-Steuerebene an senden kann. CloudWatch
+  ** `eks` ** – Verwalten Sie Cluster-Zugriffseinträge und -Richtlinien, um detailliert zu steuern, wer auf EKS-Ressourcen zugreifen und welche Aktionen ausführen darf. Dazu gehört auch die Zuordnung von Standardzugriffsrichtlinien für Rechen-, Netzwerk-, Load Balancing- und Speichervorgänge.
+  ** `elasticloadbalancing` ** – Erstellen, verwalten und löschen Sie Load Balancer und deren Komponenten (Listener, Zielgruppen, Zertifikate), die EKS-Clustern zugeordnet sind. Zeigen Sie die Attribute und den Integritätsstatus des Load Balancers an.
+  **`events`**- Erstellen und verwalten Sie EventBridge Regeln für die Überwachung von EC2- und AWS Health-Ereignissen im Zusammenhang mit EKS-Clustern und ermöglichen Sie so automatisierte Reaktionen auf Infrastrukturänderungen und Integritätswarnungen.
+  ** `iam` ** – Verwalten Sie EC2-Instance-Profile mit dem Präfix „eks“, einschließlich Erstellung, Löschung und Rollenzuordnung, die für die EKS-Knotenverwaltung erforderlich ist. Ermöglicht die Beschreibung eines beliebigen Instanzprofils, sodass Benutzer benutzerdefinierte Instanzprofile für ihre Worker-Knoten definieren können.
+  **`pricing`**`shield`****- Greifen Sie auf AWS Preisinformationen und den Shield-Schutzstatus zu, was Kostenmanagement und erweiterte Sicherheitsfunktionen für EKS-Ressourcen ermöglicht.
+  **Ressourcen-Bereinigung** – Löschen Sie während Cluster-Bereinigungsvorgängen sicher EKS-gekennzeichnete Ressourcen, einschließlich Volumes, Snapshots, Startvorlagen und Netzwerkschnittstellen.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSService RolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServiceRolePolicy.html#AmazonEKSServiceRolePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSVPCResource Controller
<a name="security-iam-awsmanpol-amazoneksvpcresourcecontroller"></a>

Sie können die `AmazonEKSVPCResourceController`-Richtlinie an Ihre IAM-Identitäten anfügen. Wenn Sie [Sicherheitsgruppen für Pods](security-groups-for-pods.md) verwenden, müssen Sie diese Richtlinie an Ihre [Amazon-EKS-Cluster-IAM-Rolle](cluster-iam-role.md) anfügen, um Aktionen in Ihrem Namen auszuführen.

Diese Richtlinie gewährt der Clusterrolle Berechtigungen zum Verwalten von Elastic Network Interfaces und IP-Adressen für Knoten.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `ec2` ** – Verwalten Sie Elastic Network Interfaces und IP-Adressen, um Pod-Sicherheitsgruppen und Windows-Knoten zu unterstützen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EKSVPCResource Controller](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSVPCResourceController.html#AmazonEKSVPCResourceController-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSWorker NodePolicy
<a name="security-iam-awsmanpol-amazoneksworkernodepolicy"></a>

Sie können die `AmazonEKSWorkerNodePolicy` an Ihre IAM-Entitäten anhängen. Sie müssen diese Richtlinie an eine [Knoten-IAM-Rolle](create-node-role.md) anhängen, die Sie angeben, wenn Sie Amazon EC2-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen auszuführen. Wenn Sie eine Knotengruppe mit `eksctl` erstellen, wird die Knoten-IAM-Rolle erstellt und diese Richtlinie automatisch an die Rolle angehängt.

Diese Richtlinie gewährt Amazon EKS Amazon EC2-Knoten Berechtigungen zum Herstellen einer Verbindung mit Amazon-EKS-Clustern.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `ec2` ** – Lesen Sie Informationen zum Instance-Volumen und zum Netzwerk. Dies ist erforderlich, damit Kubernetes-Knoten Informationen zu Amazon-EC2-Ressourcen beschreiben können, die für den Knoten erforderlich sind, um dem Amazon-EKS-Cluster beizutreten.
+  ** `eks` ** – Beschreiben Sie optional den Cluster als Teil des Knoten-Bootstrappings.
+  ** `eks-auth:AssumeRoleForPodIdentity` ** – Erlauben Sie das Abrufen von Anmeldeinformationen für EKS-Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSWorker NodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodePolicy.html#AmazonEKSWorkerNodePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSWorker NodeMinimalPolicy
<a name="security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy"></a>

Sie können die AmazonEKS WorkerNodeMinimalPolicy an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an eine Knoten-IAM-Rolle anfügen, die Sie angeben, wenn Sie Amazon EC2-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen auszuführen.

Diese Richtlinie gewährt Amazon EKS Amazon EC2-Knoten Berechtigungen zum Herstellen einer Verbindung mit Amazon-EKS-Clustern. Diese Richtlinie hat im Vergleich zu Amazon weniger Berechtigungen EKSWorkerNodePolicy.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  `eks-auth:AssumeRoleForPodIdentity` – Erlauben Sie das Abrufen von Anmeldeinformationen für EKS-Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSWorker NodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodeMinimalPolicy.html#AmazonEKSWorkerNodeMinimalPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup
<a name="security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup"></a>

Sie können `AWSServiceRoleForAmazonEKSNodegroup` nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigungen für Amazon EKS](using-service-linked-roles-eks-nodegroups.md#service-linked-role-permissions-eks-nodegroups).

Diese Richtlinie gewährt der `AWSServiceRoleForAmazonEKSNodegroup`-Rolle Berechtigungen, die es ihr ermöglichen, Amazon EC2-Knotengruppen in Ihrem Konto zu erstellen und zu verwalten.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:
+  ** `ec2` ** – Arbeiten Sie mit Sicherheitsgruppen, Tags, Kapazitätsreservierungen und Startvorlagen. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Zugriffskonfiguration auf Distanz zu ermöglichen und Kapazitätsreservierungen zu beschreiben, die in verwalteten Knotengruppen verwendet werden können. Darüber hinaus erstellen von Amazon EKS verwaltete Knotengruppen in Ihrem Namen eine Startvorlage. Dies dient zum Konfigurieren der Amazon EC2 Auto Scaling-Gruppe, die jede verwaltete Knotengruppe unterstützt.
+  ** `iam` ** – Erstellen einer serviceverknüpften Rolle und Übergeben einer Rolle. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um Instance-Profile für die Rolle zu verwalten, die beim Erstellen einer verwalteten Knotengruppe übergeben wird. Dieses Instance-Profil wird von Amazon-EC2-Instances verwendet, die als Teil einer verwalteten Knotengruppe gestartet werden. Amazon EKS muss serviceverknüpfte Rollen für andere Services wie Amazon EC2 Auto Scaling-Gruppen erstellen. Diese Berechtigungen werden bei der Erstellung einer verwalteten Knotengruppe verwendet.
+  ** `autoscaling` ** – Arbeiten Sie mit Sicherheitsgruppen für Auto Scaling. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Amazon EC2 Auto Scaling-Gruppe zu verwalten, die jede verwaltete Knotengruppe unterstützt. Es wird auch verwendet, um Funktionen wie das Entfernen von Pods zu unterstützen, wenn Knoten während Knotengruppen-Updates beendet oder recycelt werden, und die Verwaltung von Warm-Pools, die auf verwalteten Knotengruppen konfiguriert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie [AWSServiceRoleForAmazonEKSNodegroup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForAmazonEKSNodegroup.html#AWSServiceRoleForAmazonEKSNodegroup-json)im Referenzhandbuch für AWS verwaltete Richtlinien.

## AWS verwaltete Richtlinie: Amazon EKSDashboard ServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy"></a>

Sie können `AmazonEKSDashboardServiceRolePolicy` nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigungen für Amazon EKS](using-service-linked-roles-eks-dashboard.md#service-linked-role-permissions-eks-dashboard).

Diese Richtlinie gewährt der `AWSServiceRoleForAmazonEKSDashboard`-Rolle Berechtigungen, die es ihr ermöglichen, Amazon EC2-Knotengruppen in Ihrem Konto zu erstellen und zu verwalten.

 **Details zu Berechtigungen** 

Diese Richtlinie enthält die folgenden Berechtigungen, die den Zugriff zur Ausführung dieser Aufgaben ermöglichen:
+  **`organizations`**— Informationen zur Struktur und zu den Konten Ihrer AWS Organizations anzeigen. Dies enthält Berechtigungen zum Auflisten von Konten in Ihrer Organisation, zum Anzeigen von Organisationseinheiten und Stammverzeichnissen, zum Auflisten von delegierten Administratoren, zum Anzeigen von Services, die Zugriff auf Ihre Organisation haben, sowie zum Abrufen detaillierter Informationen über Ihre Organisation und Konten.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSDashboard ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardServiceRolePolicy.html#AmazonEKSDashboardServiceRolePolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: EBSCSIDriver Amazon-Richtlinie
<a name="security-iam-awsmanpol-amazonebscsidriverservicerolepolicy"></a>

**Wichtig**  
[Es sind zwei neue, AWS verwaltete IAM-Richtlinien verfügbar, die einen restriktiveren Geltungsbereich von Berechtigungen ermöglichen: [Amazon EBSCSIDriver PolicyV2 für tagbasiertes Scoping oder Amazon](#security-iam-awsmanpol-amazonebscsidriverpolicyv2) für Cluster-bezogene Isolierung. EBSCSIDriver EKSCluster ScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy) [Wenn Sie an einer Migration interessiert sind, finden Sie weitere Informationen unter Migration der EBS CSI-Treiberrichtlinien.](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)

Die `AmazonEBSCSIDriverPolicy` Richtlinie ermöglicht es dem Amazon EBS Container Storage Interface (CSI) -Treiber, Volumes in Ihrem Namen zu erstellen, zu ändern, zu kopieren, anzuhängen, zu trennen und zu löschen. Dazu gehören auch das Ändern von Tags in vorhandenen Volumes und das Aktivieren von Fast Snapshot Restore (FSR) in EBS-Volumes. Sie gewährt dem EBS CSI-Treiber auch die Berechtigung, Snapshots zu erstellen, zu sperren, wiederherzustellen und zu löschen und Ihre Instances, Volumes und Snapshots aufzulisten.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EBSCSIDriver ServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html#AmazonEBSCSIDriverPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EBSCSIDriver PolicyV2
<a name="security-iam-awsmanpol-amazonebscsidriverpolicyv2"></a>

Die `AmazonEBSCSIDriverPolicyV2` Richtlinie ist eine restriktivere Alternative zu`AmazonEBSCSIDriverPolicy`. Dadurch wird der Amazon EBS CSI-Treiber darauf beschränkt, nur EBS-Volumes und -Snapshots zu verwalten, die mit dem Schlüssel `ebs.csi.aws.com/cluster` gekennzeichnet sind, der auf gesetzt ist. `true` Volumes, die durch das In-Tree-Kubernetes-Volume-Plugin bereitgestellt werden (CSI-migrierte Volumes), werden auch über das Resource-Tag unterstützt. `kubernetes.io/created-for/pvc/name`

[Informationen zur Migration von finden Sie unter Migration der `AmazonEBSCSIDriverPolicy` EBS-CSI-Treiberrichtlinien.](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EBSCSIDriver PolicyV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html#AmazonEBSCSIDriverPolicyV2-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EBSCSIDriver EKSCluster ScopedPolicy
<a name="security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy"></a>

Die `AmazonEBSCSIDriverEKSClusterScopedPolicy` Richtlinie beschränkt den Amazon EBS CSI-Treiber darauf, nur EBS-Volumes und -Snapshots zu verwalten, die zu einem bestimmten EKS-Cluster gehören. Es erfordert, dass das Ressourcen-Tag `ebs.csi.aws.com/cluster-name` mit dem `eks-cluster-name` Tag auf dem IAM-Prinzipal übereinstimmt. Dadurch wird ein clusterübergreifender Zugriff verhindert, wenn mehrere Cluster dasselbe Konto verwenden. AWS Vorgänge zum Anhängen und Trennen von Instances sind auf Instanzen beschränkt, die entweder mit dem `eks:cluster-name` Tag (wird automatisch von EKS für verwaltete Knotengruppen festgelegt) oder dem `ebs.csi.aws.com/cluster-name` Tag (für manuell markierte Instances) gekennzeichnet sind.

Informationen zur Migration von `AmazonEBSCSIDriverPolicy` finden Sie unter Migration der [EBS CSI-Treiberrichtlinien](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918).

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EBSCSIDriver EKSCluster ScopedPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html#AmazonEBSCSIDriverEKSClusterScopedPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: EFSCSIDriver Amazon-Richtlinie
<a name="security-iam-awsmanpol-amazonefscsidriverservicerolepolicy"></a>

Die `AmazonEFSCSIDriverPolicy`-Richtlinie ermöglicht es dem Amazon EFS Container Storage Interface (CSI), Zugriffspunkte in Ihrem Namen zu erstellen und zu löschen. Außerdem gewährt es dem Amazon EFS CSI-Treiberberechtigungen, Ihre Access Points, Dateisysteme, Mount-Ziele und Amazon EC2 EC2-Verfügbarkeitszonen aufzulisten.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [Amazon EFSCSIDriver Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html#AmazonEFSCSIDriverPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: CSIDriver AmazonS3Files-Richtlinie
<a name="security-iam-awsmanpol-amazons3filescsidriverservicerolepolicy"></a>

Die `AmazonS3FilesCSIDriverPolicy` Richtlinie ermöglicht es dem Amazon EFS Container Storage Interface (CSI), Amazon S3 Files-Zugriffspunkte in Ihrem Namen zu erstellen und zu löschen. Außerdem gewährt es dem Amazon EFS CSI-Treiberberechtigungen, Ihre Amazon S3 Files-Zugriffspunkte und Dateisysteme aufzulisten.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter [CSIDriverAmazonS3Files-Richtlinie](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html#AmazonS3FilesCSIDriverPolicy-json) im Referenzhandbuch für AWS verwaltete Richtlinien.

## AWS verwaltete Richtlinie: Amazon EKSLocal OutpostClusterPolicy
<a name="security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy"></a>

Sie können diese Richtlinie mit IAM-Entitäten verknüpfen. Bevor Sie einen lokalen Cluster erstellen, müssen Sie diese Richtlinie Ihrer [Cluster-Rolle](cluster-iam-role.md) anfügen. Kubernetes-Cluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Services auf. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Die `AmazonEKSLocalOutpostClusterPolicy` umfasst folgende Berechtigungen.
+  ** `ec2`-Leseaktionen** – Ermöglicht es Steuerebenen-Instances, Eigenschaften von Availability Zones, Routing-Tabellen, Instances und Netzwerkschnittstellen zu beschreiben. Erforderliche Berechtigungen für Amazon-EC2-Instances, um dem Cluster erfolgreich als Steuerebene-Instances beizutreten.
+  ** `ssm` ** – Ermöglicht Amazon EC2 Systems Manager eine Verbindung mit der Instance auf Steuerebene, die von Amazon EKS für die Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.
+  **`logs`**— Ermöglicht Instances, Logs an Amazon zu übertragen CloudWatch.
+  **`secretsmanager`**— Ermöglicht Instances das sichere Abrufen und Löschen von Bootstrap-Daten für die Kontrollebeneninstanzen aus AWS Secrets Manager.
+  ** `ecr` ** – Ermöglicht Pods und Containern, die auf Instances auf der Steuerebene ausgeführt werden, das Abrufen von Container-Images, die in Amazon Elastic Container Registry gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSLocal OutpostClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostClusterPolicy.html#AmazonEKSLocalOutpostClusterPolicy-json) im AWS Managed Policy Reference Guide.

## AWS verwaltete Richtlinie: Amazon EKSLocal OutpostServiceRolePolicy
<a name="security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy"></a>

Sie können diese Richtlinie Ihren IAM-Entitäten nicht anfügen. Wenn Sie einen Cluster mit einem IAM-Prinzipal erstellen, der über die `iam:CreateServiceLinkedRole` entsprechende Berechtigung verfügt, erstellt Amazon EKS automatisch die serviceverknüpfte [AWSServiceRoleforAmazonEKSLocalOutpost-Rolle](using-service-linked-roles-eks-outpost.md) für Sie und fügt ihr diese Richtlinie hinzu. Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, in Ihrem Namen AWS Dienste für lokale Cluster aufzurufen.

Die `AmazonEKSLocalOutpostServiceRolePolicy` umfasst folgende Berechtigungen.
+  ** `ec2` ** – Ermöglicht Amazon EKS die Zusammenarbeit mit Sicherheits-, Netzwerk- und anderen Ressourcen, um Instances der Steuerebene in Ihrem Konto erfolgreich zu starten und zu verwalten.
+  ** `ssm`, `ssmmessages` ** – Ermöglicht Amazon EC2 Systems Manager eine Verbindung mit der Instances auf Steuerebene, die von Amazon EKS für die Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.
+  ** `iam` ** – Ermöglicht Amazon EKS die Verwaltung des Instance-Profils, das den Instances auf Steuerebene zugeordnet ist.
+  **`secretsmanager`**- Ermöglicht Amazon EKS, Bootstrap-Daten für die Instances der Kontrollebene in AWS Secrets Manager zu übertragen, sodass sie beim Instance-Bootstrapping sicher referenziert werden können.
+  ** `outposts` ** – Ermöglicht Amazon EKS, Outpost-Informationen von Ihrem Konto abzurufen, um einen lokalen Cluster in einem Outpost erfolgreich zu starten.

Die neueste Version des JSON-Richtliniendokuments finden Sie [bei Amazon EKSLocal OutpostServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostServiceRolePolicy.html#AmazonEKSLocalOutpostServiceRolePolicy-json) im AWS Managed Policy Reference Guide.

## Amazon EKS-Updates für AWS verwaltete Richtlinien
<a name="security-iam-awsmanpol-updates"></a>

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon EKS an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.

Um Benachrichtigungen über alle Änderungen an den Quelldateien dieser spezifischen Dokumentationsseite zu erhalten, können Sie die folgende URL mit einem RSS-Reader abonnieren:

```
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
```


| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|  Einführung von [Amazon EBSCSIDriver PolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2) und [Amazon EBSCSIDriver EKSCluster ScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy).  |  Eingeführt `AmazonEBSCSIDriverPolicyV2` und `AmazonEBSCSIDriverEKSClusterScopedPolicy` als restriktivere Alternative zu`AmazonEBSCSIDriverPolicy`. `AmazonEBSCSIDriverPolicyV2`beschränkt den EBS-CSI-Treiber auf Volumes und Snapshots, die mit `ebs.csi.aws.com/cluster` set to gekennzeichnet sind. `true` `AmazonEBSCSIDriverEKSClusterScopedPolicy`ordnet den Treiber mithilfe des Tags auf Volumes und Snapshots zu, die zu einem bestimmten EKS-Cluster gehören. `ebs.csi.aws.com/cluster-name`  |  16. April 2026  | 
|  Die Berechtigungen für wurden aktualisiert. [AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)  |  Aktualisiert`shield:CreateProtection`, `shield:DeleteProtection` Erlaubnis in`AmazonEKSLoadBalancingPolicy`. Dadurch kann der Amazon EKS Auto Mode Controller einen zusätzlichen Schutzschild hinzufügen.  |  14. April 2026  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy) hinzugefügt.  |  Die `elasticloadbalancing:RegisterTargets` Erlaubnis`AmazonEKSLoadBalancingPolicy`, Unterstützung für Multi-Cluster- und benutzerdefinierte Zielgruppenbindungen hinzuzufügen, wurde aktualisiert  |  20. März 2026  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy) hinzugefügt.  |  Es wurde `elasticloadbalancing:ModifyIpPools` die Erlaubnis hinzugefügt`AmazonEKSLoadBalancingPolicy`, Unterstützung für die Einstellung des IPAM-Pools für ALB hinzuzufügen  |  20. März 2026  | 
|  Berechtigung zu [AWS verwaltete Richtlinie: EKSNetworking Amazon-Richtlinie](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy) hinzugefügt.  |  `ec2:ModifyNetworkInterfaceAttribute`Erlaubnis in `AmazonEKSNetworkingPolicy` hinzugefügt. Dadurch kann Amazon EKS Auto Mode Controller Netzwerkschnittstellenattribute für EC2-Instances ändern.  |  3. Februar 2026  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup) hinzugefügt.  |  Hinzugefügt`autoscaling:PutWarmPool`,`autoscaling:DeleteWarmPool`, und `autoscaling:DescribeWarmPool` Berechtigungen für. `AWSServiceRoleForAmazonEKSNodegroup` Auf diese Weise können Amazon EKS Managed Nodegroups die zugrunde liegenden ASG-Warm-Pool-Ressourcen während des gesamten Knotengruppen-Lebenszyklus verwalten.  |  17. Februar 2026  | 
|  Berechtigung zu [AWS verwaltete Richtlinie: Amazon EKSService RolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt.  |  Die Präfixanforderung „eks“ im Namen des Zielinstanzprofils für die `iam:GetInstanceProfile` Berechtigung in `AmazonEKSServiceRolePolicy` wurde entfernt. Dadurch kann Amazon EKS Auto Mode benutzerdefinierte Instance-Profile validieren und verwenden, NodeClasses ohne dass das Namenspräfix „eks“ erforderlich ist.  |  2. Februar 2026  | 
|  Berechtigungen zur [EBSCSIDriverAmazon-Richtlinie](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) hinzugefügt.  |  Es wurde die `ec2:LockSnapshot` Berechtigung hinzugefügt, dem EBS-CSI-Treiber das direkte Sperren von EBS-Snapshots zu ermöglichen.  |  15. Januar 2026  | 
|  Einführung von [AWS verwaltete Richtlinie: Amazon EKSMCPRead OnlyAccess](#security-iam-awsmanpol-amazoneksmcpreadonlyaccess).  |  Amazon EKS führte eine neue verwaltete Richtlinie ein`AmazonEKSMCPReadOnlyAccess`, um schreibgeschützte Tools auf dem Amazon EKS MCP-Server für Beobachtbarkeit und Fehlerbehebung zu aktivieren.  |  21. November 2025  | 
|  Berechtigungen zur [EBSCSIDriverAmazon-Richtlinie](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) hinzugefügt.  |  Es wurde die `ec2:CopyVolumes` Berechtigung hinzugefügt, dem EBS-CSI-Treiber das direkte Kopieren von EBS-Volumes zu ermöglichen.  |  17. November 2025  | 
|  Berechtigung zu [AWS verwaltete Richtlinie: Amazon EKSService RolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt.  |  Hinzugefügt `ec2:DescribeRouteTables` und `ec2:DescribeNetworkAcls` Berechtigungen für`AmazonEKSServiceRolePolicy`. Auf diese Weise kann Amazon EKS im Rahmen von Cluster-Erkenntnissen Konfigurationsprobleme mit VPC-Routing-Tabellen und Netzwerken ACLs für Hybridknoten erkennen.  |  22. Oktober 2025  | 
|  Berechtigung zu [AWSServiceRoleForAmazonEKSConnector](using-service-linked-roles-eks-connector.md) hinzugefügt   |  `ssmmessages:OpenDataChannel`Erlaubnis hinzugefügt zu `AmazonEKSConnectorServiceRolePolicy`   |  15. Oktober 2025  | 
|  Berechtigung zu [AWS verwaltete Richtlinie: Amazon EKSService RolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt   |  Diese Rolle kann die neue Zugriffsrichtlinie `AmazonEKSEventPolicy` anfügen. Eingeschränkte Berechtigungen für `ec2:DeleteLaunchTemplate` und `ec2:TerminateInstances`.  |  26. August 2025  | 
|  Berechtigung zu [AWS verwaltete Richtlinie: Amazon EKSLocal OutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy) hinzugefügt   |  `ssmmessages:OpenDataChannel`-Berechtigung zu `AmazonEKSLocalOutpostServiceRolePolicy` hinzugefügt.  |  26. Juni 2025  | 
|  Berechtigung zu [AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie](#security-iam-awsmanpol-AmazonEKSComputePolicy) hinzugefügt.  |  Aktualisierte Ressourcenberechtigungen für die Aktionen `ec2:RunInstances` und `ec2:CreateFleet`, um Kapazitätsreservierungen ` arn:aws: ec2:*:*:capacity-reservation/*` einzuschließen. Dadurch kann Amazon EKS Auto Mode Instances starten, indem die EC2-On-Demand-Kapazitätsreservierungen in Ihrem Konto verwendet werden. `iam:CreateServiceLinkedRole` hinzugefügt, um Amazon EKS Auto Mode zu ermöglichen, die serviceverknüpfte EC2-Spot-Rolle `AWSServiceRoleForEC2Spot` in Ihrem Namen zu erstellen.  |  20. Juni 2025  | 
|  Die Erlaubnis wurde [Amazon](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt EKSServiceRolePolicy.  |  `ec2:DescribeCapacityReservations`-Berechtigung hinzugefügt, um Amazon EKS Auto Mode das Starten von Instances mithilfe der EC2-On-Demand-Kapazitätsreservierungen in Ihrem Konto zu ermöglichen.  |  20. Juni 2025  | 
|  Einführung von [AWS verwaltete Richtlinie: Amazon EKSDashboard ConsoleReadOnly](#security-iam-awsmanpol-amazoneksdashboardconsolereadonly).  |  Neue `AmazonEKSDashboardConsoleReadOnly`-Richtlinie eingeführt.  |  19. Juni 2025  | 
|  Einführung von [AWS verwaltete Richtlinie: Amazon EKSDashboard ServiceRolePolicy](#security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy).  |  Neue `AmazonEKSDashboardServiceRolePolicy`-Richtlinie eingeführt.  |  21. Mai 2025  | 
|  Berechtigungen zur [EKSClusterAmazon-Richtlinie](#security-iam-awsmanpol-amazoneksclusterpolicy) hinzugefügt.  |  `ec2:DeleteNetworkInterfaces`-Berechtigung hinzugefügt, um Amazon EKS das Löschen von Elastic Network Interfaces zu ermöglichen, die zurückbleiben, wenn das VPC CNI unerwartet beendet wird.  |  16. April 2025  | 
|  Die Erlaubnis wurde [Amazon](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt EKSServiceRolePolicy.  |  Es wurden `ec2:AuthorizeSecurityGroupEgress` Berechtigungen hinzugefügt`ec2:RevokeSecurityGroupEgress`, die es AI/ML EKS-Kunden ermöglichen, als Teil der Version EKS 1.33 Sicherheitsgruppenausgangsregeln zur standardmäßigen EKS-Cluster-SG hinzuzufügen, die mit EFA kompatibel sind.  |  14. April 2025  | 
|  Berechtigungen für [Amazon](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt EKSServiceRolePolicy.  |  Berechtigung zum Beenden von EC2-Instances hinzugefügt, die von EKS Auto Mode erstellt wurden.  |  28. Februar 2025  | 
|  Berechtigungen zur [EBSCSIDriverAmazon-Richtlinie](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) hinzugefügt.  |  Eine neue Anweisung wurde hinzugefügt, die den EBS CSI-Treiber zur Wiederherstellung aller Snapshots autorisiert. Dies war zuvor durch die vorhandene Richtlinie zulässig, aufgrund einer Änderung in der Handhabung von IAM für `CreateVolume` ist jedoch eine neue explizite Anweisung erforderlich. Dem EBS CSI-Treiber wurde die Möglichkeit hinzugefügt, Tags auf vorhandenen Volumes zu ändern. Der EBS-CSI-Treiber kann Tags vorhandener Volumes über einen Parameter in VolumeAttributesClasses Kubernetes ändern. Dem EBS-CSI-Treiber wurde die Möglichkeit hinzugefügt, Fast Snapshot Restore (FSR) in EBS-Volumes zu aktivieren. Der EBS-CSI-Treiber kann FSR auf neuen Volumes über Parameter in Kubernetes-Speicherklassen aktivieren.  |  13. Januar 2025  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy) hinzugefügt.  |  `AmazonEKSLoadBalancingPolicy` wurde aktualisiert, um die Auflistung und Beschreibung von Netzwerk- und IP-Adressressourcen zu ermöglichen.  |  26. Dezember 2024  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup) hinzugefügt.  |  `AWSServiceRoleForAmazonEKSNodegroup` für Kompatibilität mit chinesischen Regionen aktualisiert.  |  22. November 2024  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: Amazon EKSLocal OutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy) hinzugefügt   |  Es wurde eine `ec2:DescribeAvailabilityZones` Berechtigung hinzugefügt, `AmazonEKSLocalOutpostClusterPolicy` damit der AWS Cloud Controller Manager auf der Cluster-Steuerebene die Availability Zone identifizieren kann, in der sich jeder Knoten befindet.  |  21. November 2024  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup) hinzugefügt.  |  Die `AWSServiceRoleForAmazonEKSNodegroup`-Richtlinie wurde so aktualisiert, dass Instances, die von Amazon EKS verwalteten Knotengruppen erstellt wurden, `ec2:RebootInstances` zulassen können. Die `ec2:CreateTags`-Berechtigungen für Amazon-EC2-Ressourcen wurden eingeschränkt.  |  20. November 2024  | 
|  Berechtigungen zu [AWS verwaltete Richtlinie: Amazon EKSService RolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt.  |  EKS hat die AWS verwaltete Richtlinie aktualisiert`AmazonEKSServiceRolePolicy`. Berechtigungen für EKS-Zugriffsrichtlinien, Load-Balancer-Verwaltung und automatische Bereinigung von Cluster-Ressourcen hinzugefügt.  |  16. November 2024  | 
|  Einführung von [AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie](#security-iam-awsmanpol-AmazonEKSComputePolicy).  |  EKS hat die AWS verwaltete Richtlinie aktualisiert`AmazonEKSComputePolicy`. Aktualisierte Ressourcenberechtigungen für die Aktion `iam:AddRoleToInstanceProfile`.  |  7. November 2024  | 
|  Einführung von [AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie](#security-iam-awsmanpol-AmazonEKSComputePolicy).  |   AWS führte das ein`AmazonEKSComputePolicy`.  |  1. November 2024  | 
|  Berechtigungen zu `AmazonEKSClusterPolicy` hinzugefügt   |  Berechtigung `ec2:DescribeInstanceTopology` hinzugefügt, damit Amazon EKS Topologieinformationen als Beschriftungen an den Knoten anfügen kann.  |  1. November 2024  | 
|  Einführung von [AWS verwaltete Richtlinie: Amazon EKSBlock StoragePolicy](#security-iam-awsmanpol-AmazonEKSBlockStoragePolicy).  |   AWS führte die ein`AmazonEKSBlockStoragePolicy`.  |  30. Oktober 2024  | 
|  Einführung von [AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy).  |   AWS führte die ein`AmazonEKSLoadBalancingPolicy`.  |  30. Oktober 2024  | 
|  Berechtigungen für [Amazon](#security-iam-awsmanpol-amazoneksservicerolepolicy) hinzugefügt EKSServiceRolePolicy.  |  Es wurden `cloudwatch:PutMetricData` Berechtigungen hinzugefügt, die es Amazon EKS ermöglichen, Metriken auf Amazon zu veröffentlichen CloudWatch.  |  29. Oktober 2024  | 
|  Einführung von [AWS verwaltete Richtlinie: EKSNetworking Amazon-Richtlinie](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy).  |   AWS führte das ein`AmazonEKSNetworkingPolicy`.  |  28. Oktober 2024  | 
|  Berechtigungen zu `AmazonEKSServicePolicy` und `AmazonEKSServiceRolePolicy` hinzugefügt.   |  `ec2:GetSecurityGroupsForVpc` und zugehörige Tag-Berechtigungen hinzugefügt, damit EKS Sicherheitsgruppeninformationen lesen und zugehörige Tags aktualisieren kann.  |  10. Oktober 2024  | 
|  [Amazon](#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy) eingeführt EKSWorkerNodeMinimalPolicy.  |   AWS führte das ein`AmazonEKSWorkerNodeMinimalPolicy`.  |  3. Oktober 2024  | 
|  Berechtigungen zu [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup) hinzugefügt.  |  `autoscaling:ResumeProcesses`- und `autoscaling:SuspendProcesses`-Berechtigungen hinzugefügt, damit Amazon EKS `AZRebalance` in von Amazon EKS verwalteten Auto-Scaling-Gruppen anhalten und fortsetzen kann.  |  21. August 2024  | 
|  Berechtigungen zu [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup) hinzugefügt.  |  `ec2:DescribeCapacityReservations`-Berechtigung hinzugefügt, um Amazon EKS das Beschreiben der Kapazitätsreservierung im Benutzerkonto zu ermöglichen. `autoscaling:PutScheduledUpdateGroupAction`-Berechtigung hinzugefügt, um die Einstellung der geplanten Skalierung für `CAPACITY_BLOCK`-Knotengruppen zu ermöglichen.  |  27. Juni 2024  | 
|   [AmazonEKS\$1CNI\$1Policy](#security-iam-awsmanpol-amazoneks-cni-policy) – ​​Aktualisierung einer vorhandenen Richtlinie  |  Amazon EKS hat neue `ec2:DescribeSubnets`-Berechtigungen hinzugefügt, damit das Amazon-VPC-CNI-Plugin für Kubernetes die Anzahl der freien IP-Adressen in Ihren Amazon-VPC-Subnetzen sehen kann. Das VPC CNI kann die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen für die Erstellung einer elastischen Netzwerkschnittstelle auszuwählen.  |  4. März 2024  | 
|   [Amazon EKSWorker NodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy) — Aktualisierung einer bestehenden Richtlinie  |  Amazon EKS wurden neue Berechtigungen hinzugefügt, die EKS-Pod-Identitäten zulassen. Der Amazon EKS Pod Identity-Agent verwendet die Knotenrolle.  |  26. November 2023  | 
|  Einführung der [EFSCSIDriverAmazon-Richtlinie](#security-iam-awsmanpol-amazonefscsidriverservicerolepolicy).  |   AWS führte die ein`AmazonEFSCSIDriverPolicy`.  |  26. Juli 2023  | 
|  Berechtigungen zur [EKSClusterAmazon-Richtlinie](#security-iam-awsmanpol-amazoneksclusterpolicy) hinzugefügt.  |  Die `ec2:DescribeAvailabilityZones`-Berechtigung wurde hinzugefügt, damit Amazon EKS die AZ-Details während der automatischen Subnetzerkennung beim Erstellen von Load Balancern abrufen kann.  |  07. Februar 2023  | 
|  Die Versicherungsbedingungen in den [EBSCSIDriverAmazon-Richtlinien](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) wurden aktualisiert.  |  Ungültige Richtlinienbedingungen mit Platzhalterzeichen im `StringLike`-Schlüsselfeld wurden entfernt. Außerdem wurde eine neue Bedingung `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` zu `ec2:DeleteVolume` hinzugefügt, die es dem EBS-CSI-Treiber ermöglicht, vom In-Tree-Plugin erstellte Volumes zu löschen.  |  17. November 2022  | 
|  Berechtigungen für [Amazon](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy) hinzugefügt EKSLocalOutpostServiceRolePolicy.  |  `ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` und `ec2:DescribeSecret` wurden hinzugefügt, um eine bessere Validierung der Voraussetzungen und eine bessere Kontrolle des Lebenszyklus zu ermöglichen. Außerdem wurden `ec2:DescribePlacementGroups` und `"arn:aws: ec2:*:*:placement-group/*"` zu `ec2:RunInstances` hinzugefügt, um die Platzierungskontrolle der Steuerebene von Amazon-EC2-Instances auf Outposts zu unterstützen.  |  24. Oktober 2022  | 
|  Aktualisieren Sie die Amazon Elastic Container Registry-Berechtigungen in [Amazon EKSLocal OutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy).  |  Die Aktion `ecr:GetDownloadUrlForLayer` wurde von allen Ressourcenabschnitten in einen Bereich mit begrenztem Umfang verschoben. Ressource ` arn:aws: ecr:*:*:repository/eks/ ` wurde hinzugefügt. Entfernen Sie die Ressource ` arn:aws: ecr:`. Diese Ressource wird durch die hinzugefügte ` arn:aws: ecr:*:*:repository/eks/*`-Ressource abgedeckt.  |  20. Oktober 2022  | 
|  Berechtigungen für [Amazon](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy) hinzugefügt EKSLocalOutpostClusterPolicy.  |  Das ` arn:aws: ecr:*:*:repository/kubelet-config-updater` Repository der Amazon-Elastic-Container-Registry wurde hinzugefügt, damit die Cluster-Steuerebenen-Instances einige `kubelet`-Argumente aktualisieren können.  |  31. August 2022  | 
|  [Amazon](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy) eingeführt EKSLocalOutpostClusterPolicy.  |   AWS führte das ein`AmazonEKSLocalOutpostClusterPolicy`.  |  24. August 2022  | 
|  [Amazon](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy) eingeführt EKSLocalOutpostServiceRolePolicy.  |   AWS führte das ein`AmazonEKSLocalOutpostServiceRolePolicy`.  |  23. August 2022  | 
|  Einführung der [EBSCSIDriverAmazon-Richtlinie](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy).  |   AWS führte die ein`AmazonEBSCSIDriverPolicy`.  |  4. April 2022  | 
|  Berechtigungen für [Amazon](#security-iam-awsmanpol-amazoneksworkernodepolicy) hinzugefügt EKSWorkerNodePolicy.  |  Hinzugefügt`ec2:DescribeInstanceTypes`, um Amazon EKS-Optimized zu aktivieren AMIs , das Eigenschaften auf Instance-Ebene auto erkennen kann.  |  21. März 2022  | 
|  Berechtigungen zu [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup) hinzugefügt.  |  `autoscaling:EnableMetricsCollection`-Berechtigung hinzugefügt, um Amazon EKS die Aktivierung der Kennzahlenerfassung zu ermöglichen.  |  13. Dezember 2021  | 
|  Berechtigungen zur [EKSClusterAmazon-Richtlinie](#security-iam-awsmanpol-amazoneksclusterpolicy) hinzugefügt.  |  `ec2:DescribeAccountAttributes`-, `ec2:DescribeAddresses`- und `ec2:DescribeInternetGateways`-Berechtigungen hinzugefügt, damit Amazon EKS eine serviceverknüpfte Rolle für einen Network Load Balancer erstellen kann.  |  17. Juni 2021  | 
|  Amazon EKS hat mit der Nachverfolgung von Änderungen begonnen.  |  Amazon EKS hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.  |  17. Juni 2021  |