Aidez à améliorer cette page
Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Elastic Kubernetes Service
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle AWS service est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez la section Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
AWS politique gérée : Amazoneks_CNI_Policy
Vous pouvez attacher AmazonEKS_CNI_Policy à vos entités IAM. Avant de créer un groupe de nœuds Amazon EC2, cette politique doit être attachée au rôle IAM de nœud ou à un rôle IAM qui est spécifiquement utilisé par le plugin Amazon VPC CNI plugin for Kubernetes. Ceci lui permet d'effectuer des actions en votre nom. Nous vous recommandons d'attacher la politique à un rôle qui n'est utilisé que par le plugin. Pour plus d'informations, consultez Utilisation du EKS module complémentaire Amazon VPC CNI plugin for Kubernetes Amazon et Configuration de l'utilisation Amazon VPC CNI plugin for Kubernetes des rôles IAM pour les comptes de service (IRSA).
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2:*NetworkInterfaceetec2:*PrivateIpAddresses— Permet au plugin Amazon VPC CNI d'effectuer des actions telles que le provisionnement d'interfaces réseau élastiques et d'adresses IP afin de fournir un réseau Pods aux applications exécutées dans Amazon EKS. -
ec2actions de lecture — Permet au plugin Amazon VPC CNI d'effectuer des actions telles que décrire des instances et des sous-réseaux pour voir le nombre d'adresses IP gratuites dans vos sous-réseaux Amazon VPC. Le VPC CNI peut utiliser les adresses IP libres de chaque sous-réseau pour sélectionner les sous-réseaux avec le plus grand nombre d'adresses IP libres à utiliser lors de la création d'une interface elastic network.
Pour consulter la dernière version du document de politique JSON, consultez Amazoneks_CNI_Policy dans le Managed Policy Reference Guide. AWS
AWS politique gérée : Amazoneks ClusterPolicy
Vous pouvez attacher AmazonEKSClusterPolicy à vos entités IAM. Avant de créer un cluster, vous devez disposer d'un rôle IAM de cluster auquel cette politique est attachée. Kubernetesles clusters gérés par Amazon EKS appellent d'autres AWS services en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
autoscaling: lit et met à jour la configuration d'un groupe Auto Scaling. Ces autorisations ne sont pas utilisées par Amazon EKS, mais restent dans la politique de compatibilité descendante. -
ec2: fonctionne avec des volumes et des ressources réseau associés aux nœuds Amazon EC2. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse joindre des instances à un cluster et allouer et gérer dynamiquement les volumes Amazon EBS demandés par des volumes persistants Kubernetes. -
elasticloadbalancing: fonctionne avec Elastic Load Balancers et ajoute des nœuds en tant que cibles. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse allouer de manière dynamique les équilibreurs de charge Elastic demandés par les services Kubernetes. -
iam: créez un rôle lié à un service Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse allouer de manière dynamique les équilibreurs de charge Elastic demandés par les services Kubernetes. -
kms: lit une clé de AWS KMS. Cette condition est nécessaire pour que le plan de contrôle de Kubernetes prenne en charge le chiffrement des secretsde Kubernetes stockés dans etcd.
Pour consulter la dernière version du document de politique JSON, consultez ClusterPolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : Amazoneks FargatePodExecutionRolePolicy
Vous pouvez attacher AmazonEKSFargatePodExecutionRolePolicy à vos entités IAM. Avant de pouvoir créer un profil Fargate, vous devez créer un rôle d'exécution de Pod Fargate et y attacher cette politique. Pour plus d’informations, consultez Étape 2 : Création d'un rôle d'exécution Pod Fargate et Définissez quelle Pods utilisation AWS Fargate lors du lancement.
Cette politique accorde au rôle les autorisations permettant d'accéder aux autres ressources de AWS service requises pour exécuter Amazon EKS Pods sur Fargate.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ecr: permet aux pods fonctionnant sur Fargate d'extraire des images de conteneur stockées dans Amazon ECR.
Pour consulter la dernière version du document de politique JSON, consultez FargatePodExecutionRolePolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : Amazoneks ForFargateServiceRolePolicy
Vous ne pouvez pas attacher AmazonEKSForFargateServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour plus d'informations, consultez AWSServiceRoleforAmazonEKSForFargate.
Cette politique accorde les autorisations nécessaires à Amazon EKS pour exécuter des tâches Fargate. La politique n'est utilisée que si vous avez des nœuds Fargate.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.
-
ec2: créez et supprimez des interfaces réseau Elastic et décrivez les interfaces et les ressources réseau Elastic. Ceci est nécessaire pour que le service Amazon EKS Fargate puisse configurer les réseaux VPC requis pour les pods Fargate.
Pour consulter la dernière version du document de politique JSON, consultez ForFargateServiceRolePolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : Amazoneks ServicePolicy
Vous pouvez attacher AmazonEKSServicePolicy à vos entités IAM. Les clusters créés avant le 16 avril 2020 nécessitaient la création d'un rôle IAM et l'ajout de cette politique. Les clusters créés à partir du 16 avril 2020 ne nécessitent pas la création d'un rôle ni l'affectation de cette politique. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, le rôle lié au service AWS ServiceRoleforAmazonEKS est automatiquement créé pour vous. AWS politique gérée : Amazoneks ServiceRolePolicy est attaché au rôle lié au service.
Cette politique permet à Amazon EKS de créer et de gérer les ressources nécessaires à l'exploitation des clusters Amazon EKS.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.
-
eks: mettez à jour la version Kubernetes de votre cluster après avoir démarré une mise à jour. Cette autorisation n'est pas utilisée par Amazon EKS, mais reste dans la politique de compatibilité descendante. -
ec2: travaillez avec les interfaces réseau Elastic et d'autres ressources réseau et identifications. Cela est requis par Amazon EKS pour configurer la mise en réseau qui facilite la communication entre les nœuds et le plan de contrôle Kubernetes. -
route53: associez un VPC à une zone hébergée. Cela est requis par Amazon EKS pour activer la mise en réseau de points de terminaison privés pour votre serveur d'API de cluster Kubernetes. -
logs: journalisez les événements. Cela est nécessaire pour qu'Amazon EKS puisse expédier les journaux du plan de Kubernetes contrôle à CloudWatch. -
iam: créez un rôle lié à un service Ceci est nécessaire pour qu'Amazon EKS puisse créer le rôle lié à un service AWSServiceRoleForAmazonEKS en votre nom.
Pour consulter la dernière version du document de politique JSON, consultez ServicePolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : Amazoneks ServiceRolePolicy
Vous ne pouvez pas attacher AmazonEKSServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour plus d’informations, consultez Autorisations du rôle lié à un service pour Amazon EKS. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, le rôle lié au service AWS ServiceRoleforAmazonEKS est automatiquement créé pour vous et cette politique y est associée.
Cette politique permet au rôle lié au service d'appeler les AWS services en votre nom.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.
-
ec2: créez et décrivez les interfaces réseau Elastic et les instances Amazon EC2, le groupe de sécurité du cluster et le VPC requis pour créer un cluster. -
iam: répertoriez toutes les politiques gérées associées à un rôle IAM. Cette condition est nécessaire pour permettre à Amazon EKS de répertorier et valider toutes les politiques et autorisations gérées requises pour créer un cluster. -
Associer un VPC à une zone hébergée : cela est requis par Amazon EKS pour activer la mise en réseau de points de terminaison privés pour votre serveur d'API de cluster Kubernetes.
-
Enregistrer les événements : cela est nécessaire pour qu'Amazon EKS puisse expédier les journaux du plan de Kubernetes contrôle à CloudWatch.
Pour consulter la dernière version du document de politique JSON, consultez ServiceRolePolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : AmazoneKSVPC ResourceController
Vous pouvez associer la politique AmazonEKSVPCResourceController à vos identités IAM. Si vous utilisez des groupes de sécurité pour les Pods, vous devez attacher cette politique à votre Rôle IAM de cluster Amazon EKS pour effectuer des actions en votre nom.
Cette politique accorde les autorisations de rôle de cluster pour gérer les interfaces réseau Elastic et les adresses IP pour les nœuds.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2: gérez les interfaces réseau Elastic et les adresses IP pour prendre en charge les groupes de sécurité de Pod et les nœuds Windows.
Pour consulter la dernière version du document de politique JSON, consultez AmazoneKSVPC ResourceController dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazoneks WorkerNodePolicy
Vous pouvez attacher AmazonEKSWorkerNodePolicy à vos entités IAM. Vous devez attacher cette politique à un rôle IAM de nœud spécifié lorsque vous créez des nœuds Amazon EC2 qui permettent à Amazon EKS d'effectuer des actions en votre nom. Si vous créez un groupe de nœuds à l'aide de eksctl, il crée le rôle IAM de nœud et attache automatiquement cette politique au rôle.
Cette politique accorde aux nœuds Amazon EKS Amazon EC2 les autorisations de connexion aux clusters Amazon EKS.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2: lit les informations sur le volume de l'instance et le réseau. Ceci est nécessaire pour que les nœuds Kubernetes puissent donner des informations sur les ressources Amazon EC2 requises afin que le nœud puisse rejoindre le cluster Amazon EKS. -
eks: décrivez éventuellement le cluster dans le cadre de l'amorçage des nœuds. -
eks-auth:AssumeRoleForPodIdentity: permet de récupérer les informations d’identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.
Pour consulter la dernière version du document de politique JSON, consultez WorkerNodePolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : AWSServiceRoleForAmazonEKSNodegroup
Vous ne pouvez pas attacher AWS ServiceRoleForAmazonEKSNodegroup à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour plus d’informations, consultez Autorisations du rôle lié à un service pour Amazon EKS.
Cette politique accorde au rôle les autorisations AWS ServiceRoleForAmazonEKSNodegroup qui lui permettent de créer et de gérer les groupes de nœuds Amazon EC2 dans votre compte.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2— Travaillez avec des groupes de sécurité, des tags, des réservations de capacité et des modèles de lancement. Cela est nécessaire pour les groupes de nœuds gérés par Amazon EKS afin de permettre la configuration de l'accès à distance et de décrire les réservations de capacité qui peuvent être utilisées dans les groupes de nœuds gérés. En outre, les groupes de nœuds gérés par Amazon EKS créent un modèle de lancement en votre nom. Cela permet de configurer le groupe Amazon EC2 Auto Scaling qui prend en charge chaque groupe de nœuds gérés. -
iam: crée un rôle lié à un service et passe un rôle. Ceci est requis par les groupes de nœuds gérés Amazon EKS pour gérer les profils d'instance pour le rôle transmis lors de la création d'un groupe de nœuds gérés. Ce profil d'instance est utilisé par les instances Amazon EC2 lancées dans le cadre d'un groupe de nœuds gérés. Amazon EKS doit créer des rôles liés au service pour d'autres services tels que les groupes Amazon EC2 Auto Scaling. Ces autorisations sont utilisées dans la création d'un groupe de nœuds gérés. -
autoscaling: utilisation des groupes Auto Scaling de sécurité. Ceci est requis par les groupes de nœuds gérés par Amazon EKS pour gérer le groupe Amazon EC2 Auto Scaling qui sauvegarde chaque groupe de nœuds gérés. Il est également utilisé pour prendre en charge des fonctionnalités telles que l'expulsion des Pods lorsque les nœuds sont résiliés ou recyclés pendant les mises à jour des groupes de nœuds.
Pour consulter la dernière version du document de politique JSON, consultez AWSServiceRoleForAmazonEKSNodegrouple Guide de référence des politiques AWS gérées.
AWS politique gérée : AmazoneBSCSI DriverPolicy
La politique AmazonEBSCSIDriverPolicy permet au pilote Amazon EBS Container Storage Interface (CSI) de créer, de modifier, d'attacher, de détacher et de supprimer des volumes en votre nom. Il accorde également au pilote EBS CSI les autorisations nécessaires pour créer et supprimer des instantanés, ainsi que pour répertorier vos instances, volumes et instantanés.
Pour consulter la dernière version du document de politique JSON, consultez AmazoneBSCSI DriverServiceRolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : AmazonefSCSI DriverPolicy
La politique AmazonEFSCSIDriverPolicy permet à l'interface CSI (Amazon EFS Container Storage Interface) de créer et de supprimer des points d'accès en votre nom. Il autorise également le pilote CSI Amazon EFS à répertorier vos points d'accès, vos systèmes de fichiers, vos cibles de montage et les zones de disponibilité Amazon EC2.
Pour consulter la dernière version du document de politique JSON, consultez AmazonEFSCSI DriverServiceRolePolicy dans le Guide de référence des politiques AWS gérées.
AWS politique gérée : Amazoneks LocalOutpostClusterPolicy
Vous ne pouvez pas attacher cette politique à des entités IAM. Avant de créer un cluster local, vous devez associer cette politique à votre rôle de cluster. Kubernetesles clusters gérés par Amazon EKS appellent d'autres AWS services en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.
La politique AmazonEKSLocalOutpostClusterPolicy inclut les autorisations suivantes :
-
ec2– Autorisations requises pour que les instances Amazon EC2 rejoignent correctement le cluster en tant qu'instances du plan de contrôle. -
ssm– Permet à Amazon EC2 Systems Manager de se connecter à l'instance du plan de contrôle, qui est utilisée par Amazon EKS pour communiquer et gérer le cluster local dans votre compte. -
logs— Permet aux instances de transmettre des journaux à Amazon CloudWatch. -
secretsmanager— Permet aux instances d'obtenir et de supprimer des données de démarrage pour les instances du plan de contrôle en toute sécurité. AWS Secrets Manager -
ecr– Permet aux Pods et aux conteneurs exécutés sur des instances du plan de contrôle d'extraire des images de conteneur stockées dans Amazon Elastic Container Registry.
Pour consulter la dernière version du document de politique JSON, consultez LocalOutpostClusterPolicyAmazoneks dans le Managed Policy Reference AWS Guide.
AWS politique gérée : Amazoneks LocalOutpostServiceRolePolicy
Vous ne pouvez pas attacher cette politique à vos entités IAM. Lorsque vous créez un cluster à l'aide d'un principal IAM disposant de l'autorisation iam:CreateServiceLinkedRole, Amazon EKS crée automatiquement le rôle lié au service AWSServiceRoleforAmazonEKSLocalOutpost pour vous et y attache cette politique. Cette politique permet au rôle lié au service d'appeler des AWS services en votre nom pour les clusters locaux.
La politique AmazonEKSLocalOutpostServiceRolePolicy inclut les autorisations suivantes :
-
ec2– Permet à Amazon EKS de travailler avec la sécurité, le réseau et d'autres ressources pour pouvoir lancer et gérer les instances du plan de contrôle dans votre compte. -
ssm– Permet à Amazon EC2 Systems Manager de se connecter aux instances du plan de contrôle, qui sont utilisées par Amazon EKS pour communiquer et gérer le cluster local dans votre compte. -
iam– Permet à Amazon EKS de gérer le profil d'instance associé aux instances du plan de contrôle. -
secretsmanager— Permet à Amazon EKS de placer des données de démarrage pour les instances du plan de contrôle AWS Secrets Manager afin qu'elles puissent être référencées de manière sécurisée lors du démarrage des instances. -
outposts– Permet à Amazon EKS d'obtenir des informations sur Outpost à partir de votre compte afin de lancer avec succès un cluster local dans un Outpost.
Pour consulter la dernière version du document de politique JSON, consultez LocalOutpostServiceRolePolicyAmazoneks dans le Managed Policy Reference AWS Guide.
Amazon EKS met à jour les politiques AWS gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon EKS depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS dans la page de l'historique des documents Amazon EKS.
| Modification | Description | Date |
|---|---|---|
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup. |
Ajout de |
27 juin 2024 |
|
Amazoneks_CNI_Policy — Mise à jour d'une politique existante |
Amazon EKS a ajouté de nouvelles Le VPC CNI peut utiliser les adresses IP libres de chaque sous-réseau pour sélectionner les sous-réseaux avec le plus grand nombre d'adresses IP libres à utiliser lors de la création d'une interface elastic network. |
4 mars 2024 |
|
WorkerNodePolicyAmazoneks — Mise à jour d'une politique existante |
Amazon EKS a ajouté de nouvelles autorisations pour permettre les identités du pod EKS. L’agent d’identité du pod Amazon EKS utilise le rôle de nœud. |
26 novembre 2023 |
|
Présentation d'Amazon EFSCSI DriverPolicy. |
AWS a présenté le |
26 juillet 2023 |
|
Des autorisations ont été ajoutées à Amazoneks. ClusterPolicy |
Ajout d'une autorisation |
7 février 2023 |
|
Conditions de politique mises à jour dans AmazoneBSCSI DriverPolicy. |
Conditions de stratégie non valides supprimées comportant des caractères génériques dans le champ clé |
17 novembre 2022 |
|
Des autorisations ont été ajoutées à Amazoneks. LocalOutpostServiceRolePolicy |
Ajout de |
24 octobre 2022 |
|
Mettez à jour les autorisations d'Amazon Elastic Container Registry dans Amazoneks. LocalOutpostClusterPolicy |
Déplacement de l'action |
20 octobre 2022 |
|
Des autorisations ont été ajoutées à Amazoneks. LocalOutpostClusterPolicy |
Ajout du référentiel Amazon Elastic Container Registry |
31 août 2022 |
|
Présentation d'Amazoneks. LocalOutpostClusterPolicy |
AWS a présenté le |
24 août 2022 |
|
Présentation d'Amazoneks. LocalOutpostServiceRolePolicy |
AWS a présenté le |
23 août 2022 |
|
Présentation d'Amazon BSCSI. DriverPolicy |
AWS a présenté le |
4 avril 2022 |
|
Des autorisations ont été ajoutées à Amazoneks. WorkerNodePolicy |
Ajout de |
21 mars 2022 |
|
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup. |
Ajout d'autorisations |
13 décembre 2021 |
|
Des autorisations ont été ajoutées à Amazoneks. ClusterPolicy |
Ajout de |
17 juin 2021 |
|
Amazon EKS a commencé à assurer le suivi des modifications. |
Amazon EKS a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
17 juin 2021 |
