Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous souhaitez contribuer à ce guide de l'utilisateur ? Choisissez le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

AWS politiques gérées pour Amazon Elastic Kubernetes Service

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'un nouveau AWS service est lancé ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

AWS politique gérée : Amazoneks_CNI_Policy

Vous pouvez attacher AmazonEKS_CNI_Policy à vos entités IAM. Avant de créer un groupe de EC2 nœuds Amazon, cette politique doit être attachée soit au rôle IAM du nœud, soit à un rôle IAM utilisé spécifiquement par Amazon VPC CNI plugin for Kubernetes. C'est pour qu'il puisse effectuer des actions en votre nom. Nous vous recommandons d'associer la politique à un rôle utilisé uniquement par le plugin. Pour plus d’informations, consultez Attribuer IPs à Pods avec le Amazon VPC CNI et Configurer le plug-in Amazon VPC CNI pour utiliser IRSA.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

ec2:*NetworkInterfaceet ec2:*PrivateIpAddresses — Permet au plugin Amazon VPC CNI d'effectuer des actions telles que le provisionnement d'interfaces réseau élastiques et d'adresses IP pour Pods pour fournir une mise en réseau aux applications qui s'exécutent dans Amazon EKS.
ec2actions de lecture — Permet au plugin Amazon VPC CNI d'effectuer des actions telles que décrire des instances et des sous-réseaux pour voir le nombre d'adresses IP gratuites dans vos sous-réseaux Amazon VPC. Le VPC CNI peut utiliser les adresses IP libres de chaque sous-réseau pour sélectionner les sous-réseaux avec le plus grand nombre d'adresses IP libres à utiliser lors de la création d'une interface elastic network.

Pour consulter la dernière version du document de politique JSON, consultez Amazoneks_CNI_Policy dans le Managed Policy Reference Guide. AWS

AWS politique gérée : Amazon EKSCluster Policy

Vous pouvez attacher AmazonEKSClusterPolicy à vos entités IAM. Avant de créer un cluster, vous devez disposer d'un rôle IAM de cluster avec la politique ci-jointe. Kubernetes les clusters gérés par Amazon EKS appellent d'autres AWS services en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

autoscaling— Lisez et mettez à jour la configuration d'un groupe Auto Scaling. Ces autorisations ne sont pas utilisées par Amazon EKS mais restent incluses dans la politique de rétrocompatibilité.
ec2— Travaillez avec des volumes et des ressources réseau associés aux EC2 nœuds Amazon. Cela est nécessaire pour que Kubernetes un plan de contrôle peut joindre des instances à un cluster et approvisionner et gérer de manière dynamique les volumes Amazon EBS demandés par Kubernetes volumes persistants.
elasticloadbalancing— Travaillez avec des équilibreurs de charge élastiques et ajoutez-y des nœuds comme cibles. Cela est nécessaire pour que Kubernetes le plan de contrôle peut approvisionner dynamiquement les équilibreurs de charge élastiques demandés par Kubernetes services.
iam— Créez un rôle lié à un service. Cela est nécessaire pour que Kubernetes le plan de contrôle peut approvisionner dynamiquement des équilibreurs de charge élastiques demandés par Kubernetes services.
kms— Lit une clé depuis AWS KMS. Cela est nécessaire pour Kubernetes plan de contrôle pour prendre en charge le chiffrement des secrets de Kubernetes secrets stockés dansetcd.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSCluster Policy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSFargate PodExecutionRolePolicy

Vous pouvez attacher AmazonEKSFargatePodExecutionRolePolicy à vos entités IAM. Avant de créer un profil Fargate, vous devez créer un Fargate Pod rôle d'exécution et associez-y cette politique. Pour plus d’informations, consultez Étape 2 : Création d'un Fargate Pod rôle d’exécution et Définissez lequel Pods utiliser AWS Fargate au lancement.

Cette politique accorde au rôle les autorisations permettant d'accéder aux autres ressources de AWS service requises pour exécuter Amazon EKS. Pods sur Fargate.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

ecr— Permet aux pods exécutés sur Fargate d'extraire des images de conteneurs stockées dans Amazon ECR.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSFargate PodExecutionRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSFor FargateServiceRolePolicy

Vous ne pouvez pas vous associer AmazonEKSForFargateServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter AWSServiceRoleforAmazonEKSForFargate.

Cette politique accorde les autorisations nécessaires à Amazon EKS pour exécuter des tâches Fargate. La politique n'est utilisée que si vous avez des nœuds Fargate.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.

ec2— Créez et supprimez des interfaces réseau élastiques et décrivez les interfaces réseau élastiques et leurs ressources. Cela est nécessaire pour que le service Amazon EKS Fargate puisse configurer le réseau VPC requis pour les Fargate Pods.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSFor FargateServiceRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSCompute Policy

Vous pouvez attacher AmazonEKSComputePolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.

Cette politique accorde les autorisations requises à Amazon EKS pour créer et gérer des EC2 instances pour le cluster EKS, ainsi que les autorisations IAM nécessaires à la configuration EC2.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

ec2Autorisations :
- ec2:CreateFleetet ec2:RunInstances - Permet de créer des EC2 instances et d'utiliser des EC2 ressources spécifiques (images, groupes de sécurité, sous-réseaux) pour les nœuds du cluster EKS.
- ec2:CreateLaunchTemplate- Permet de créer des modèles de EC2 lancement pour les nœuds du cluster EKS.
- La politique inclut également des conditions visant à restreindre l'utilisation de ces EC2 autorisations aux ressources étiquetées avec le nom du cluster EKS et d'autres balises pertinentes.
- ec2:CreateTags- Permet d'ajouter des balises aux EC2 ressources créées par les CreateLaunchTemplate actions CreateFleetRunInstances, et.
iamAutorisations :
- iam:AddRoleToInstanceProfile- Permet d'ajouter un rôle IAM au profil d'instance de calcul EKS.
- iam:PassRole- Permet de transmettre les rôles IAM nécessaires au EC2 service.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSCompute Policy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSNetworking Policy

Vous pouvez attacher AmazonEKSNetworkingPolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.

Cette politique est conçue pour accorder les autorisations nécessaires à Amazon EKS pour créer et gérer des interfaces réseau pour le cluster EKS, permettant au plan de contrôle et aux nœuds de travail de communiquer et de fonctionner correctement.

Détails de l’autorisation

Cette politique accorde les autorisations suivantes pour permettre à Amazon EKS de gérer les interfaces réseau du cluster :

ec2Autorisations d'interface réseau :
- ec2:CreateNetworkInterface- Permet de créer des interfaces EC2 réseau.
- La politique inclut des conditions visant à restreindre l'utilisation de cette autorisation aux interfaces réseau étiquetées avec le nom du cluster EKS et le nom du nœud Kubernetes CNI.
- ec2:CreateTags- Permet d'ajouter des balises aux interfaces réseau créées par l'CreateNetworkInterfaceaction.
ec2Autorisations de gestion de l'interface réseau :
- ec2:AttachNetworkInterface, ec2:DetachNetworkInterface - Permet d'attacher et de détacher des interfaces réseau aux EC2 instances.
- ec2:UnassignPrivateIpAddresses,ec2:UnassignIpv6Addresses,ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses - Permet de gérer les assignations d'adresses IP des interfaces réseau.
- Ces autorisations sont limitées aux interfaces réseau étiquetées avec le nom du cluster EKS.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSNetworking Policy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSBlock StoragePolicy

Vous pouvez attacher AmazonEKSBlockStoragePolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.

Cette politique accorde les autorisations nécessaires à Amazon EKS pour créer, gérer et gérer des EC2 volumes et des instantanés pour le cluster EKS, permettant ainsi au plan de contrôle et aux nœuds de travail de provisionner et d'utiliser un stockage persistant conformément aux charges de travail Kubernetes.

Détails de l’autorisation

Cette politique IAM accorde les autorisations suivantes pour permettre à Amazon EKS de gérer les EC2 volumes et les instantanés :

ec2Autorisations de gestion des volumes :
- ec2:AttachVolume,, ec2:DetachVolumeec2:ModifyVolume, ec2:EnableFastSnapshotRestores - Permet de joindre, de détacher, de modifier et d'activer des restaurations instantanées rapides pour les EC2 volumes.
- Ces autorisations sont limitées aux volumes marqués avec le nom du cluster EKS.
- ec2:CreateTags- Permet d'ajouter des balises aux EC2 volumes et aux instantanés créés par les CreateSnapshot actions CreateVolume et.
ec2Autorisations de création de volumes :
- ec2:CreateVolume- Permet de créer de nouveaux EC2 volumes.
- La politique inclut des conditions visant à restreindre l'utilisation de cette autorisation aux volumes marqués avec le nom du cluster EKS et d'autres balises pertinentes.
- ec2:CreateSnapshot- Permet de créer de nouveaux instantanés de EC2 volume.
- La politique inclut des conditions visant à restreindre l'utilisation de cette autorisation aux instantanés marqués avec le nom du cluster EKS et d'autres balises pertinentes.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSBlock StoragePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSLoad BalancingPolicy

Vous pouvez attacher AmazonEKSLoadBalancingPolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.

Cette politique IAM accorde les autorisations nécessaires à Amazon EKS pour travailler avec différents AWS services afin de gérer les Elastic Load Balancers (ELBs) et les ressources associées.

Détails de l’autorisation

Les principales autorisations accordées par cette politique sont les suivantes :

elasticloadbalancing: Permet de créer, de modifier et de gérer des équilibreurs de charge élastiques et des groupes cibles. Cela inclut les autorisations permettant de créer, de mettre à jour et de supprimer des équilibreurs de charge, des groupes cibles, des écouteurs et des règles.
ec2: Permet de créer et de gérer des groupes de sécurité, nécessaires au plan de contrôle Kubernetes pour joindre des instances à un cluster et gérer les volumes Amazon EBS. Permet également de décrire et de répertorier EC2 des ressources telles que des instances VPCs, des sous-réseaux, des groupes de sécurité et d'autres ressources réseau.
iam: Permet de créer un rôle lié à un service pour Elastic Load Balancing, qui est nécessaire au provisionnement dynamique du plan de contrôle Kubernetes. ELBs
kms: Permet de lire une clé depuis AWS KMS, qui est requise pour que le plan de contrôle Kubernetes prenne en charge le chiffrement des secrets Kubernetes stockés dans etcd.
wafv2et shield: Permet d'associer et de dissocier le Web ACLs et de créer/supprimer des protections AWS Shield pour les Elastic Load Balancers.
cognito-idp, acm, et elasticloadbalancing: accorde des autorisations pour décrire les clients du pool d'utilisateurs, répertorier et décrire les certificats, et décrire les groupes cibles, qui sont nécessaires au plan de contrôle Kubernetes pour gérer les Elastic Load Balancers.

La politique inclut également plusieurs vérifications de condition pour garantir que les autorisations sont limitées au cluster EKS spécifique géré, à l'aide de la eks:eks-cluster-name balise.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSLoad BalancingPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSService Policy

Vous pouvez attacher AmazonEKSServicePolicy à vos entités IAM. Les clusters créés avant le 16 avril 2020 nécessitaient la création d'un rôle IAM et l'ajout de cette politique. Les clusters créés le 16 avril 2020 ou après cette date ne vous obligent pas à créer un rôle ni à attribuer cette politique. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, le rôle lié au service AWSServiceRoleforAmazonEKS est automatiquement créé pour vous. Le rôle lié au service est EKSService RolePolicy associé à la politique gérée suivante : Amazon.

Cette politique permet à Amazon EKS de créer et de gérer les ressources nécessaires à l'exploitation des clusters Amazon EKS.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.

eks— Mettez à jour le Kubernetes version de votre cluster après avoir lancé une mise à jour. Cette autorisation n'est pas utilisée par Amazon EKS mais reste inscrite dans la politique de rétrocompatibilité.
ec2— Travaillez avec les interfaces réseau élastiques et d'autres ressources et balises réseau. Cela est requis par Amazon EKS pour configurer un réseau qui facilite la communication entre les nœuds et le Kubernetes plan de contrôle. Lisez les informations sur les groupes de sécurité. Mettez à jour les balises des groupes de sécurité.
route53— Associez un VPC à une zone hébergée. Cela est requis par Amazon EKS pour activer le réseau de points de terminaison privés pour votre Kubernetes serveur d'API de cluster.
logs— Enregistrez les événements. Cela est nécessaire pour qu'Amazon EKS puisse expédier Kubernetes le plan de contrôle se connecte à CloudWatch.
iam— Créez un rôle lié à un service. Ceci est nécessaire pour qu'Amazon EKS puisse créer le rôle lié à un service Autorisations du rôle lié à un service pour Amazon EKS en votre nom.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSService Policy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSService RolePolicy

Vous ne pouvez pas vous associer AmazonEKSServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations du rôle lié à un service pour Amazon EKS. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, le rôle lié au service AWSServiceRoleforAmazonEKS est automatiquement créé pour vous et cette politique y est associée.

Cette politique permet au rôle lié au service d'appeler les AWS services en votre nom.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.

ec2— Créez et décrivez les interfaces réseau Elastic et EC2 les instances Amazon, le groupe de sécurité du cluster et le VPC nécessaires à la création d'un cluster. Pour de plus amples informations, veuillez consulter Afficher les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters. Lisez les informations sur les groupes de sécurité. Mettez à jour les balises des groupes de sécurité.
iam— Répertorie toutes les politiques gérées associées à un rôle IAM. Cette condition est nécessaire pour permettre à Amazon EKS de répertorier et valider toutes les politiques et autorisations gérées requises pour créer un cluster.
Associer un VPC à une zone hébergée : Amazon EKS en a besoin pour activer le réseau de points de terminaison privés pour votre Kubernetes serveur d'API de cluster.
Enregistrer un événement : cela est nécessaire pour qu'Amazon EKS puisse expédier Kubernetes le plan de contrôle se connecte à CloudWatch.
Put metric — Ceci est nécessaire pour qu'Amazon EKS puisse expédier Kubernetes le plan de contrôle se connecte à CloudWatch.
eks- Gérez les entrées et les politiques d'accès au cluster, ce qui permet de contrôler avec précision les personnes autorisées à accéder aux ressources EKS et les actions qu'elles peuvent effectuer. Cela inclut l'association de politiques d'accès standard pour les opérations de calcul, de mise en réseau, d'équilibrage de charge et de stockage.
elasticloadbalancing- Créez, gérez et supprimez les équilibreurs de charge et leurs composants (écouteurs, groupes cibles, certificats) associés aux clusters EKS. Consultez les attributs et l'état de santé de l'équilibreur de charge.
events- Créez et gérez des EventBridge règles pour la surveillance EC2 et les événements de AWS santé liés aux clusters EKS, permettant des réponses automatisées aux modifications de l'infrastructure et aux alertes de santé.
iam- Gérez les profils d' EC2 instance avec le préfixe « eks », y compris la création, la suppression et l'association de rôles, nécessaires à la gestion des nœuds EKS.
pricing& shield- Accédez aux informations AWS tarifaires et à l'état de protection du Shield, permettant de gérer les coûts et de bénéficier de fonctionnalités de sécurité avancées pour les ressources EKS.
Nettoyage des ressources : supprimez en toute sécurité les ressources étiquetées EKS, notamment les volumes, les instantanés, les modèles de lancement et les interfaces réseau lors des opérations de nettoyage du cluster.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSService RolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSVPCResource Controller

Vous pouvez associer la politique AmazonEKSVPCResourceController à vos identités IAM. Si vous utilisez des groupes de sécurité pour les pods, vous devez associer cette politique au rôle IAM de votre cluster Amazon EKS pour effectuer des actions en votre nom.

Cette politique accorde les autorisations de rôle de cluster pour gérer les interfaces réseau Elastic et les adresses IP pour les nœuds.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

ec2— Gérez les interfaces réseau élastiques et les adresses IP pour prendre en charge Pod groupes de sécurité et Windows nœuds.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSVPCResource Controller dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSWorker NodePolicy

Vous pouvez attacher AmazonEKSWorkerNodePolicy à vos entités IAM. Vous devez associer cette politique à un rôle IAM de nœud que vous spécifiez lorsque vous créez des EC2 nœuds Amazon qui permettent à Amazon EKS d'effectuer des actions en votre nom. Si vous créez un groupe de nœuds à l'aide de eksctl, il crée le rôle IAM de nœud et attache automatiquement cette politique au rôle.

Cette politique accorde aux EC2 nœuds Amazon EKS l'autorisation de se connecter aux clusters Amazon EKS.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

ec2— Lisez le volume de l'instance et les informations réseau. Cela est nécessaire pour que Kubernetes les nœuds peuvent décrire les informations relatives EC2 aux ressources Amazon requises pour que le nœud rejoigne le cluster Amazon EKS.
eks— Décrivez éventuellement le cluster dans le cadre du démarrage du nœud.
eks-auth:AssumeRoleForPodIdentity— Autorise la récupération des informations d'identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSWorker NodePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSWorker NodeMinimalPolicy

Vous pouvez associer l'Amazon EKSWorker NodeMinimalPolicy à vos entités IAM. Vous pouvez associer cette politique à un rôle IAM de nœud que vous spécifiez lorsque vous créez des EC2 nœuds Amazon qui permettent à Amazon EKS d'effectuer des actions en votre nom.

Cette politique accorde aux EC2 nœuds Amazon EKS l'autorisation de se connecter aux clusters Amazon EKS. Cette politique comporte moins d'autorisations que celle d'Amazon EKSWorkerNodePolicy.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

eks-auth:AssumeRoleForPodIdentity- Autoriser la récupération des informations d'identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSWorker NodePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : AWSService RoleForAmazon EKSNodegroup

Vous ne pouvez pas vous associer AWSServiceRoleForAmazonEKSNodegroup à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations du rôle lié à un service pour Amazon EKS.

Cette politique accorde au AWSServiceRoleForAmazonEKSNodegroup rôle les autorisations qui lui permettent de créer et de gérer des groupes de EC2 nœuds Amazon dans votre compte.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

ec2— Travaillez avec des groupes de sécurité, des tags, des réservations de capacité et des modèles de lancement. Cela est nécessaire pour les groupes de nœuds gérés par Amazon EKS afin de permettre la configuration de l'accès à distance et de décrire les réservations de capacité qui peuvent être utilisées dans les groupes de nœuds gérés. En outre, les groupes de nœuds gérés par Amazon EKS créent un modèle de lancement en votre nom. Cela permet de configurer le groupe Amazon EC2 Auto Scaling qui soutient chaque groupe de nœuds gérés.
iam— Créez un rôle lié à un service et transmettez-le. Ceci est requis par les groupes de nœuds gérés Amazon EKS pour gérer les profils d'instance pour le rôle transmis lors de la création d'un groupe de nœuds gérés. Ce profil d'instance est utilisé par les EC2 instances Amazon lancées dans le cadre d'un groupe de nœuds géré. Amazon EKS doit créer des rôles liés à un service pour d'autres services tels que les groupes Amazon EC2 Auto Scaling. Ces autorisations sont utilisées dans la création d'un groupe de nœuds gérés.
autoscaling— Travaillez avec des groupes de sécurité Auto Scaling. Cela est requis par les groupes de nœuds gérés par Amazon EKS pour gérer le groupe Amazon EC2 Auto Scaling qui soutient chaque groupe de nœuds gérés. Il est également utilisé pour prendre en charge des fonctionnalités telles que l'expulsion Pods lorsque les nœuds sont résiliés ou recyclés lors des mises à jour des groupes de nœuds.

Pour consulter la dernière version du document de politique JSON, consultez AWSServiceRoleForAmazonEKSNodegrouple Guide de référence des politiques AWS gérées.

AWS politique gérée : Amazon EBSCSIDriver Policy

La politique AmazonEBSCSIDriverPolicy permet au pilote Amazon EBS Container Storage Interface (CSI) de créer, de modifier, d'attacher, de détacher et de supprimer des volumes en votre nom. Cela inclut la modification des balises sur les volumes existants et l'activation de la restauration rapide des instantanés (FSR) sur les volumes EBS. Il accorde également au pilote EBS CSI les autorisations nécessaires pour créer, restaurer et supprimer des instantanés, ainsi que pour répertorier vos instances, volumes et instantanés.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EBSCSIDriver ServiceRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EFSCSIDriver Policy

La politique AmazonEFSCSIDriverPolicy permet à l'interface CSI (Amazon EFS Container Storage Interface) de créer et de supprimer des points d'accès en votre nom. Il accorde également au pilote Amazon EFS CSI l'autorisation de répertorier vos points d'accès, vos systèmes de fichiers, vos cibles de montage et vos zones de EC2 disponibilité Amazon.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EFSCSIDriver ServiceRolePolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSLocal OutpostClusterPolicy

Vous ne pouvez pas attacher cette politique à des entités IAM. Avant de créer un cluster local, vous devez associer cette politique à votre rôle de cluster. Kubernetes les clusters gérés par Amazon EKS appellent d'autres AWS services en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.

La politique AmazonEKSLocalOutpostClusterPolicy inclut les autorisations suivantes :

ec2actions de lecture — Permet aux instances du plan de contrôle de décrire les propriétés de la zone de disponibilité, de la table de routage, de l'instance et de l'interface réseau. Autorisations requises pour que les EC2 instances Amazon rejoignent avec succès le cluster en tant qu'instances du plan de contrôle.
ssm— Permet à Amazon EC2 Systems Manager de se connecter à l'instance du plan de contrôle, qui est utilisée par Amazon EKS pour communiquer et gérer le cluster local de votre compte.
logs— Permet aux instances de transmettre des journaux à Amazon CloudWatch.
secretsmanager— Permet aux instances d'obtenir et de supprimer des données de démarrage pour les instances du plan de contrôle en toute sécurité à partir de AWS Secrets Manager.
ecr— Permet Pods et les conteneurs qui s'exécutent sur les instances du plan de contrôle pour extraire des images de conteneurs stockées dans Amazon Elastic Container Registry.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSLocal OutpostClusterPolicy dans le AWS Managed Policy Reference Guide.

AWS politique gérée : Amazon EKSLocal OutpostServiceRolePolicy

Vous ne pouvez pas associer cette politique à vos entités IAM. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, Amazon EKS crée automatiquement le rôle lié au service AWSServiceRoleforAmazonEKSLocalOutpost pour vous et y associe cette politique. Cette politique permet au rôle lié au service d'appeler des AWS services en votre nom pour les clusters locaux.

La politique AmazonEKSLocalOutpostServiceRolePolicy inclut les autorisations suivantes :

ec2— Permet à Amazon EKS de travailler avec des ressources de sécurité, de réseau et autres pour lancer et gérer avec succès les instances du plan de contrôle dans votre compte.
ssm— Permet à Amazon EC2 Systems Manager de se connecter aux instances du plan de contrôle, qui sont utilisées par Amazon EKS pour communiquer et gérer le cluster local de votre compte.
iam— Permet à Amazon EKS de gérer le profil d'instance associé aux instances du plan de contrôle.
secretsmanager- Permet à Amazon EKS de placer les données de démarrage des instances du plan de contrôle dans AWS Secrets Manager afin qu'elles puissent être référencées de manière sécurisée lors du démarrage des instances.
outposts— Permet à Amazon EKS d'obtenir les informations d'Outpost depuis votre compte afin de lancer avec succès un cluster local dans un Outpost.

Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSLocal OutpostServiceRolePolicy dans le AWS Managed Policy Reference Guide.

Amazon EKS met à jour les politiques AWS gérées

Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon EKS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS dans la page de l'historique des documents Amazon EKS.

Modification	Description	Date
Des autorisations ont été ajoutées à Amazon EBSCSIDriver Policy.	Ajout d'une nouvelle déclaration autorisant le pilote EBS CSI à restaurer tous les instantanés. Cela était auparavant autorisé par la politique existante, mais une nouvelle déclaration explicite est requise en raison d'une modification de la gestion d'IAM pour`CreateVolume`. Ajout de la possibilité pour le pilote EBS CSI de modifier les balises sur les volumes existants. Le pilote EBS CSI peut modifier les balises des volumes existants via un paramètre dans Kubernetes. VolumeAttributesClass Ajout de la possibilité pour le pilote EBS CSI d'activer la restauration rapide des instantanés (FSR) sur les volumes EBS. Le pilote EBS CSI peut activer le FSR sur les nouveaux volumes via les paramètres de Kubernetes. StorageClass	13 janvier 2025
Autorisations ajoutées àAWS politique gérée : Amazon EKSLoad BalancingPolicy.	Mis `AmazonEKSLoadBalancingPolicy` à jour pour permettre de répertorier et de décrire les ressources réseau et d'adresses IP.	26 décembre 2024
Autorisations ajoutées àAWS politique gérée : AWSService RoleForAmazon EKSNodegroup.	Mis à jour `AWSServiceRoleForAmazonEKSNodegroup` pour assurer la compatibilité avec les régions de Chine.	22 novembre 2024
Autorisations ajoutées à AWS politique gérée : Amazon EKSLocal OutpostClusterPolicy	`ec2:DescribeAvailabilityZones`Autorisation ajoutée `AmazonEKSLocalOutpostClusterPolicy` afin que le AWS Cloud Controller Manager du plan de contrôle du cluster puisse identifier la zone de disponibilité dans laquelle se trouve chaque nœud.	14 novembre 2024
Autorisations ajoutées àAWS politique gérée : AWSService RoleForAmazon EKSNodegroup.	`AWSServiceRoleForAmazonEKSNodegroup`Politique mise à jour `ec2:RebootInstances` pour autoriser les instances créées par des groupes de nœuds gérés par Amazon EKS. Limite les `ec2:CreateTags` autorisations pour les EC2 ressources Amazon.	14 novembre 2024
Autorisations ajoutées àAWS politique gérée : Amazon EKSService RolePolicy.	Politique AWS gérée mise à jour par EKS`AmazonEKSServiceRolePolicy`. Ajout d'autorisations pour les politiques d'accès EKS, la gestion de l'équilibreur de charge et le nettoyage automatique des ressources du cluster.	16 novembre 2024
PrésentéAWS politique gérée : Amazon EKSCompute Policy.	Politique AWS gérée mise à jour par EKS`AmazonEKSComputePolicy`. Autorisations de ressources mises à jour pour l'`iam:AddRoleToInstanceProfile`action.	7 novembre 2024
PrésentéAWS politique gérée : Amazon EKSCompute Policy.	AWS a présenté le`AmazonEKSComputePolicy`.	1er novembre 2024
Autorisations ajoutées à `AmazonEKSClusterPolicy`	`ec2:DescribeInstanceTopology`Autorisation ajoutée permettant à Amazon EKS de joindre des informations topologiques au nœud sous forme d'étiquettes.	1er novembre 2024
PrésentéAWS politique gérée : Amazon EKSBlock StoragePolicy.	AWS a présenté le`AmazonEKSBlockStoragePolicy`.	3 octobre 2024
PrésentéAWS politique gérée : Amazon EKSLoad BalancingPolicy.	AWS a présenté le`AmazonEKSLoadBalancingPolicy`.	3 octobre 2024
Des autorisations ont été ajoutées à Amazon EKSService RolePolicy.	Des `cloudwatch:PutMetricData` autorisations ont été ajoutées pour permettre à Amazon EKS de publier des métriques sur Amazon CloudWatch.	29 octobre 2024
PrésentéAWS politique gérée : Amazon EKSNetworking Policy.	AWS a présenté le`AmazonEKSNetworkingPolicy`.	28 octobre 2024
Autorisations ajoutées pour `AmazonEKSServicePolicy` et `AmazonEKSServiceRolePolicy`	Autorisations de balises ajoutées `ec2:GetSecurityGroupsForVpc` et associées pour permettre à EKS de lire les informations du groupe de sécurité et de mettre à jour les balises associées.	10 octobre 2024
Présentation d'Amazon EKSWorker NodeMinimalPolicy.	AWS a présenté le`AmazonEKSWorkerNodeMinimalPolicy`.	3 octobre 2024
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup.	Ajout `autoscaling:ResumeProcesses` d'`autoscaling:SuspendProcesses`autorisations permettant à Amazon EKS de suspendre et de reprendre ses activités `AZRebalance` dans les groupes Auto Scaling gérés par Amazon EKS.	21 août 2024
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup.	Ajout de `ec2:DescribeCapacityReservations` l'autorisation permettant à Amazon EKS de décrire la réservation de capacité dans le compte de l'utilisateur. `autoscaling:PutScheduledUpdateGroupAction`Autorisation ajoutée pour activer la configuration du dimensionnement planifié sur les groupes de `CAPACITY_BLOCK` nœuds.	27 juin 2024
Amazoneks_CNI_Policy — Mise à jour d'une politique existante	Amazon EKS a ajouté de nouvelles `ec2:DescribeSubnets` autorisations pour permettre Amazon VPC CNI plugin for Kubernetes pour connaître le nombre d'adresses IP gratuites dans vos sous-réseaux Amazon VPC. Le VPC CNI peut utiliser les adresses IP libres de chaque sous-réseau pour sélectionner les sous-réseaux avec le plus grand nombre d'adresses IP libres à utiliser lors de la création d'une interface elastic network.	4 mars 2024
Amazon EKSWorker NodePolicy — Mise à jour d'une politique existante	Amazon EKS a ajouté de nouvelles autorisations pour permettre les identités du pod EKS. L’agent d’identité du pod Amazon EKS utilise le rôle de nœud.	26 novembre 2023
Présentation de la EFSCSIDriverpolitique d'Amazon.	AWS a présenté le`AmazonEFSCSIDriverPolicy`.	26 juillet 2023
Des autorisations ont été ajoutées à Amazon EKSCluster Policy.	Ajout d'une autorisation `ec2:DescribeAvailabilityZones` permettant à Amazon EKS d'obtenir les détails des zones de disponibilité lors de la découverte automatique des sous-réseaux lors de la création d'équilibreurs de charge.	7 février 2023
Conditions de politique mises à jour dans Amazon EBSCSIDriver Policy.	Conditions de stratégie non valides supprimées comportant des caractères génériques dans le champ clé `StringLike`. Nouvelle condition `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` ajoutée à `ec2:DeleteVolume`, permettant au pilote EBS CSI de supprimer les volumes créés par le plug-in intégré à l'arborescence.	17 novembre 2022
Des autorisations ont été ajoutées à Amazon EKSLocal OutpostServiceRolePolicy.	Ajout de `ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` et `ec2:DescribeSecret` pour permettre une meilleure validation des prérequis et un meilleur contrôle du cycle de vie géré. Également ajouté `ec2:DescribePlacementGroups` et `"arn:aws: ec2:::placement-group/*"` pour `ec2:RunInstances` prendre en charge le contrôle du placement des EC2 instances Amazon du plan de contrôle sur Outposts.	24 octobre 2022
Mettez à jour les autorisations d'Amazon Elastic Container Registry sur Amazon EKSLocal OutpostClusterPolicy.	Déplacement de l'action `ecr:GetDownloadUrlForLayer` de toutes les sections de ressources vers une section délimitée. Ajout de la ressource `arn:aws: ecr:::repository/eks/`. Suppression de la ressource `arn:aws: ecr:`. Cette ressource est couverte par la ressource `arn:aws: ecr:::repository/eks/*` ajoutée.	20 octobre 2022
Des autorisations ont été ajoutées à Amazon EKSLocal OutpostClusterPolicy.	Ajout du référentiel Amazon Elastic Container Registry `arn:aws: ecr:::repository/kubelet-config-updater` pour que les instances du plan de contrôle du cluster puissent mettre à jour des arguments `kubelet`.	31 août 2022
Présentation d'Amazon EKSLocal OutpostClusterPolicy.	AWS a présenté le`AmazonEKSLocalOutpostClusterPolicy`.	24 août 2022
Présentation d'Amazon EKSLocal OutpostServiceRolePolicy.	AWS a présenté le`AmazonEKSLocalOutpostServiceRolePolicy`.	23 août 2022
Présentation de la EBSCSIDriverpolitique d'Amazon.	AWS a présenté le`AmazonEBSCSIDriverPolicy`.	4 avril 2022
Des autorisations ont été ajoutées à Amazon EKSWorker NodePolicy.	Ajouté `ec2:DescribeInstanceTypes` pour permettre à Amazon EKS d'être optimisé pour détecter automatiquement AMIs les propriétés au niveau de l'instance.	21 mars 2022
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup.	Ajout d'autorisations `autoscaling:EnableMetricsCollection` permettant à Amazon EKS d'activer la collecte de métriques.	13 décembre 2021
Des autorisations ont été ajoutées à Amazon EKSCluster Policy.	Ajout de `ec2:DescribeAccountAttributes`, `ec2:DescribeAddresses` et `ec2:DescribeInternetGateways` pour autoriser Amazon EKS à créer un rôle lié à un service pour un Network Load Balancer.	17 juin 2021
Amazon EKS a commencé à assurer le suivi des modifications.	Amazon EKS a commencé à suivre les modifications apportées AWS à ses politiques gérées.	17 juin 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Rôle IAM du connecteur

Résolution des problèmes