AWS kebijakan terkelola untuk Amazon Elastic Kubernetes Service

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat AWS layanan baru diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: Amazoneks_CNI_Policy

Anda dapat melampirkan AmazonEKS_CNI_Policy ke entitas IAM Anda. Sebelum Anda membuat grup node Amazon EC2, kebijakan ini harus dilampirkan ke peran IAM node, atau ke peran IAM yang digunakan secara khusus oleh plugin Amazon VPC CNI untuk Kubernetes. Ini dimaksudkan agar dapat melakukan tindakan atas nama Anda. Kami menyarankan Anda melampirkan kebijakan ke peran yang hanya digunakan oleh plugin. Untuk informasi selengkapnya, lihat Tetapkan IP ke Pod dengan Amazon VPC CNI dan Konfigurasikan plugin Amazon VPC CNI untuk menggunakan IRSA.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2:*NetworkInterfacedan ec2:*PrivateIpAddresses — Memungkinkan plugin Amazon VPC CNI untuk melakukan tindakan seperti menyediakan Antarmuka Jaringan Elastis dan alamat IP untuk Pod untuk menyediakan jaringan untuk aplikasi yang berjalan di Amazon EKS.
ec2baca tindakan - Memungkinkan plugin Amazon VPC CNI untuk melakukan tindakan seperti mendeskripsikan instance dan subnet untuk melihat jumlah alamat IP gratis di subnet VPC Amazon Anda. VPC CNI dapat menggunakan alamat IP gratis di setiap subnet untuk memilih subnet dengan alamat IP paling gratis untuk digunakan saat membuat elastic network interface.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat Amazoneks_CNI_Policy di Panduan Referensi Kebijakan Terkelola. AWS

AWS kebijakan terkelola: AmazonEKSClusterPolicy

Anda dapat melampirkan AmazonEKSClusterPolicy ke entitas IAM Anda. Sebelum membuat klaster, Anda harus memiliki IAM role klaster dengan kebijakan terlampir ini. Cluster Kubernetes yang dikelola oleh Amazon EKS melakukan panggilan ke AWS layanan lain atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan layanan.

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

autoscaling— Baca dan perbarui konfigurasi grup Auto Scaling. Izin ini tidak digunakan oleh Amazon EKS tetapi tetap dalam kebijakan untuk kompatibilitas mundur.
ec2— Bekerja dengan volume dan sumber daya jaringan yang terkait dengan node Amazon EC2. Hal ini diperlukan agar control plane Kubernetes dapat menggabungkan instance ke klaster dan secara dinamis menyediakan serta mengelola volume Amazon EBS yang diminta oleh volume persisten Kubernetes.
ec2- Hapus antarmuka jaringan elastis yang dibuat oleh VPC CNI. Ini diperlukan agar EKS dapat membersihkan antarmuka jaringan elastis yang tertinggal jika VPC CNI berhenti secara tak terduga.
elasticloadbalancing— Bekerja dengan Elastic Load Balancers dan tambahkan node ke dalamnya sebagai target. Ini diperlukan agar bidang kendali Kubernetes dapat secara dinamis menyediakan Penyeimbang Beban Elastis yang diminta oleh layanan Kubernetes.
iam— Buat peran terkait layanan. Hal ini diperlukan agar control plane Kubernetes dapat secara dinamis menyediakan Elastic Load Balancer yang diminta oleh layanan Kubernetes.
kms— Baca kunci dari AWS KMS. Ini diperlukan untuk pesawat kontrol Kubernetes untuk mendukung enkripsi rahasia rahasia Kubernetes yang disimpan di dalamnya. etcd

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSClusterPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSDashboardConsoleReadOnly

Anda dapat melampirkan AmazonEKSDashboardConsoleReadOnly ke entitas IAM Anda.

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

eks- Read-only akses ke data dasbor EKS, sumber daya, dan informasi versi cluster. Ini memungkinkan melihat EKS-related metrik dan detail konfigurasi cluster.
organizations- Read-only akses ke informasi AWS Organizations, termasuk:
- Melihat detail organisasi dan akses layanan
- Daftar akar organisasi, akun, dan unit organisasi
- Melihat struktur organisasi

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSDashboardConsoleReadOnlydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSFargatePodExecutionRolePolicy

Anda dapat melampirkan AmazonEKSFargatePodExecutionRolePolicy ke entitas IAM Anda. Sebelum Anda dapat membuat profil Fargate, Anda harus membuat peran eksekusi Fargate Pod dan melampirkan kebijakan ini padanya. Untuk informasi selengkapnya, lihat Langkah 2: Buat peran eksekusi Fargate Pod dan Tentukan Pod mana yang menggunakan AWS Fargate saat diluncurkan.

Kebijakan ini memberikan peran izin yang menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk menjalankan Pod Amazon EKS di Fargate.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ecr— Memungkinkan Pod yang berjalan di Fargate untuk menarik gambar kontainer yang disimpan di Amazon ECR.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSFargatePodExecutionRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSConnectorServiceRolePolicy

Anda tidak dapat melampirkan AmazonEKSConnectorServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran untuk menghubungkan klaster Kubernetes ke Amazon EKS.

Peran ini memungkinkan Amazon EKS untuk menghubungkan cluster Kubernetes. Kebijakan terlampir memungkinkan peran untuk mengelola sumber daya yang diperlukan untuk terhubung ke klaster Kubernetes Anda yang terdaftar.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon EKS untuk menyelesaikan tugas berikut.

SSM Management— Buat, jelaskan, dan hapus aktivasi SSM, dan deregister instance terkelola. Ini memungkinkan operasi Systems Manager dasar.
Session Management— Mulai sesi SSM khusus untuk kluster EKS dan jalankan perintah non-interaktif menggunakan dokumen AmazonEks.
IAM Role Passing— Lulus peran IAM secara khusus ke layanan SSM, dikendalikan oleh kondisi yang membatasi peran yang diteruskan ke. ssm.amazonaws.com
EventBridge Rules— Buat EventBridge aturan dan target, tetapi hanya jika dikelola oleheks-connector.amazonaws.com. Aturan secara khusus terbatas pada AWS SSM sebagai sumber acara.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSConnectorServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSForFargateServiceRolePolicy

Anda tidak dapat melampirkan AmazonEKSForFargateServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat AWSServiceRoleforAmazonEKSForFargate.

Kebijakan ini memberikan izin yang diperlukan kepada Amazon EKS untuk menjalankan tugas Fargate. Kebijakan ini hanya digunakan jika Anda memiliki simpul Fargate.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon EKS untuk menyelesaikan tugas berikut.

ec2— Buat dan hapus Antarmuka Jaringan Elastis dan jelaskan Antarmuka dan sumber daya Jaringan Elastis. Ini diperlukan agar layanan Amazon EKS Fargate dapat mengonfigurasi jaringan VPC yang diperlukan untuk Pod Fargate.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSForFargateServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSComputePolicy

Anda dapat melampirkan AmazonEKSComputePolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan ini memberikan izin yang diperlukan Amazon EKS untuk membuat dan mengelola instans EC2 untuk kluster EKS, dan izin IAM yang diperlukan untuk mengonfigurasi EC2. Selain itu, kebijakan ini memberikan izin kepada Amazon EKS untuk membuat peran terkait layanan EC2 Spot atas nama Anda.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2Izin:
- ec2:CreateFleetdan ec2:RunInstances - Memungkinkan pembuatan instans EC2 dan menggunakan sumber daya EC2 tertentu (gambar, grup keamanan, subnet, reservasi kapasitas sesuai permintaan, grup penempatan) untuk node cluster EKS.
- ec2:CreateLaunchTemplate- Memungkinkan pembuatan template peluncuran EC2 untuk node cluster EKS.
- Kebijakan ini juga mencakup ketentuan untuk membatasi penggunaan izin EC2 ini ke sumber daya yang ditandai dengan nama klaster EKS dan tag lain yang relevan.
- ec2:CreateTags- Memungkinkan menambahkan tag ke sumber daya EC2 yang dibuat olehCreateFleet,RunInstances, dan CreateLaunchTemplate tindakan.
iamIzin:
- iam:AddRoleToInstanceProfile- Memungkinkan menambahkan peran IAM ke profil instance komputasi EKS.
- iam:PassRole- Memungkinkan meneruskan peran IAM yang diperlukan ke layanan EC2.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSComputePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSNetworkingPolicy

Anda dapat melampirkan AmazonEKSNetworkingPolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan ini dirancang untuk memberikan izin yang diperlukan bagi Amazon EKS untuk membuat dan mengelola antarmuka jaringan untuk kluster EKS, memungkinkan bidang kontrol dan node pekerja untuk berkomunikasi dan berfungsi dengan baik.

Detail izin

Kebijakan ini memberikan izin berikut untuk mengizinkan Amazon EKS mengelola antarmuka jaringan untuk klaster:

ec2Izin Antarmuka Jaringan:
- ec2:CreateNetworkInterface- Memungkinkan membuat antarmuka jaringan EC2.
- Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini ke antarmuka jaringan yang ditandai dengan nama klaster EKS dan nama node CNI Kubernetes.
- ec2:CreateTags- Memungkinkan menambahkan tag ke antarmuka jaringan yang dibuat oleh CreateNetworkInterface tindakan.
ec2Izin Manajemen Antarmuka Jaringan:
- ec2:AttachNetworkInterface,ec2:ModifyNetworkInterfaceAttribute, ec2:DetachNetworkInterface - Memungkinkan melampirkan, memodifikasi atribut antarmuka jaringan dan melepaskan antarmuka jaringan ke instans EC2.
- ec2:UnassignPrivateIpAddresses,ec2:UnassignIpv6Addresses,ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses - Memungkinkan mengelola penugasan alamat IP dari antarmuka jaringan.
- Izin ini dibatasi untuk antarmuka jaringan yang ditandai dengan nama cluster EKS.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSNetworkingPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSBlockStoragePolicy

Anda dapat melampirkan AmazonEKSBlockStoragePolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan ini memberikan izin yang diperlukan bagi Amazon EKS untuk membuat, mengelola, dan memelihara volume dan snapshot EC2 untuk klaster EKS, memungkinkan control plane dan node worker untuk menyediakan dan menggunakan penyimpanan persisten seperti yang dipersyaratkan oleh beban kerja Kubernetes.

Detail izin

Kebijakan IAM ini memberikan izin berikut untuk mengizinkan Amazon EKS mengelola volume dan snapshot EC2:

ec2Izin Manajemen Volume:
- ec2:AttachVolume,ec2:DetachVolume,ec2:ModifyVolume, ec2:EnableFastSnapshotRestores - Memungkinkan melampirkan, melepaskan, memodifikasi, dan mengaktifkan pemulihan snapshot cepat untuk volume EC2.
- Izin ini dibatasi untuk volume yang ditandai dengan nama cluster EKS.
- ec2:CreateTags- Memungkinkan menambahkan tag ke volume EC2 dan snapshot yang dibuat oleh CreateVolume dan CreateSnapshot tindakan.
ec2Izin Pembuatan Volume:
- ec2:CreateVolume- Memungkinkan membuat volume EC2 baru.
- Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini ke volume yang ditandai dengan nama klaster EKS dan tag lain yang relevan.
- ec2:CreateSnapshot- Memungkinkan membuat snapshot volume EC2 baru.
- Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini pada snapshot yang ditandai dengan nama klaster EKS dan tag lain yang relevan.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSBlockStoragePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSLoadBalancingPolicy

Anda dapat melampirkan AmazonEKSLoadBalancingPolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan IAM ini memberikan izin yang diperlukan bagi Amazon EKS untuk bekerja dengan berbagai AWS layanan untuk mengelola Elastic Load Balancers (ELB) dan sumber daya terkait.

Detail izin

Izin utama yang diberikan oleh kebijakan ini adalah:

elasticloadbalancing: Memungkinkan membuat, memodifikasi, dan mengelola Elastic Load Balancers dan Target Groups. Ini termasuk izin untuk membuat, memperbarui, dan menghapus penyeimbang beban, grup target, pendengar, dan aturan.
ec2: Memungkinkan pembuatan dan pengelolaan grup keamanan, yang diperlukan untuk control plane Kubernetes untuk menggabungkan instance ke klaster dan mengelola volume Amazon EBS. Juga memungkinkan mendeskripsikan dan mencantumkan sumber daya EC2 seperti instance, VPC, Subnet, Grup Keamanan, dan sumber daya jaringan lainnya.
iam: Memungkinkan pembuatan peran terkait layanan untuk Elastic Load Balancing, yang diperlukan untuk bidang kontrol Kubernetes untuk menyediakan ELB secara dinamis.
kms: Memungkinkan membaca kunci dari AWS KMS, yang diperlukan untuk control plane Kubernetes untuk mendukung enkripsi rahasia Kubernetes yang disimpan dalam etcd.
wafv2dan shield: Memungkinkan mengaitkan dan melepaskan perlindungan ACL Web dan creating/deleting AWS Shield untuk Elastic Load Balancer.
cognito-idp, acm, and elasticloadbalancing: Memberikan izin untuk mendeskripsikan klien kumpulan pengguna, membuat daftar dan mendeskripsikan sertifikat, dan mendeskripsikan grup target, yang diperlukan untuk bidang kontrol Kubernetes untuk mengelola Elastic Load Balancers.

Kebijakan ini juga mencakup beberapa pemeriksaan kondisi untuk memastikan bahwa izin dicakup ke kluster EKS tertentu yang dikelola, menggunakan tag. eks:eks-cluster-name

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSLoadBalancingPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSMCPReadOnlyAccess

Anda dapat melampirkan AmazonEKSMCPReadOnlyAccess ke entitas IAM Anda. Kebijakan ini menyediakan akses hanya-baca ke sumber daya Amazon EKS dan AWS layanan terkait, memungkinkan Server Amazon EKS Model Context Protocol (MCP) untuk melakukan operasi observabilitas dan pemecahan masalah tanpa membuat modifikasi apa pun pada infrastruktur Anda.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan kepala sekolah menyelesaikan tugas-tugas berikut:

eksMemungkinkan prinsipal mendeskripsikan dan mencantumkan klaster EKS, grup node, add-on, entri akses, wawasan, dan mengakses Kubernetes API untuk operasi hanya-baca.
iamMemungkinkan kepala sekolah untuk mengambil informasi tentang peran IAM, kebijakan, dan lampirannya untuk memahami izin yang terkait dengan sumber daya EKS.
ec2Memungkinkan prinsipal untuk menggambarkan VPC, subnet, dan tabel rute untuk memahami konfigurasi jaringan kluster EKS.
stsMemungkinkan kepala sekolah untuk mengambil informasi identitas penelepon untuk tujuan otentikasi dan otorisasi.
logsMemungkinkan prinsipal untuk memulai kueri dan mengambil hasil kueri dari CloudWatch Log untuk pemecahan masalah dan pemantauan.
cloudwatchMemungkinkan kepala sekolah untuk mengambil data metrik untuk memantau kinerja klaster dan beban kerja.
eks-mcpMemungkinkan prinsipal untuk menjalankan operasi MCP dan memanggil alat hanya-baca dalam Amazon EKS MCP Server.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSMCPReadOnlyAccessdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSServicePolicy

Anda dapat melampirkan AmazonEKSServicePolicy ke entitas IAM Anda. Cluster yang dibuat sebelum 16 April 2020, mengharuskan Anda untuk membuat peran IAM dan melampirkan kebijakan ini padanya. Cluster yang dibuat pada atau setelah 16 April 2020, tidak mengharuskan Anda untuk membuat peran dan tidak mengharuskan Anda untuk menetapkan kebijakan ini. Saat Anda membuat klaster menggunakan prinsipal IAM yang memiliki iam:CreateServiceLinkedRole izin, peran AWSServiceRoleforAmazonEKSterkait layanan akan dibuat secara otomatis untuk Anda. Peran terkait layanan memiliki kebijakan terkelola: AmazonEKSServiceRolePolicy melekat padanya.

Kebijakan ini memungkinkan Amazon EKS untuk membuat dan mengelola sumber daya yang diperlukan guna mengoperasikan klaster Amazon EKS.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut.

eks— Perbarui versi Kubernetes dari klaster Anda setelah Anda memulai pembaruan. Izin ini tidak digunakan oleh Amazon EKS tetapi tetap dalam kebijakan kompatibilitas mundur.
ec2— Bekerja dengan Antarmuka Jaringan Elastis dan sumber daya dan tag jaringan lainnya. Ini diperlukan oleh Amazon EKS untuk mengonfigurasi jaringan yang memfasilitasi komunikasi antara simpul dan bidang kendali Kubernetes. Baca informasi tentang kelompok keamanan. Perbarui tag pada grup keamanan.
route53— Kaitkan VPC dengan zona yang dihosting. Ini diperlukan oleh Amazon EKS untuk mengaktifkan jaringan titik akhir privat untuk server API klaster Kubernetes Anda.
logs— Log peristiwa. Ini diperlukan agar Amazon EKS dapat mengirimkan log pesawat kontrol Kubernetes ke. CloudWatch
iam— Buat peran terkait layanan. Ini diperlukan agar Amazon EKS dapat membuat peran Izin peran tertaut layanan untuk Amazon EKS terkait layanan atas nama Anda.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSServicePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSServiceRolePolicy

Anda tidak dapat melampirkan AmazonEKSServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan untuk Amazon EKS. Saat Anda membuat klaster menggunakan prinsipal IAM yang memiliki iam:CreateServiceLinkedRole izin, peran AWSServiceRoleforAmazonEKSterkait layanan akan dibuat secara otomatis untuk Anda dan kebijakan ini dilampirkan padanya.

Kebijakan ini memungkinkan peran terkait layanan untuk memanggil AWS layanan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon EKS untuk menyelesaikan tugas berikut.

ec2— Buat dan jelaskan Antarmuka Jaringan Elastis, instans Amazon EC2 dan statusnya, grup keamanan klaster, dan VPC yang diperlukan untuk membuat klaster. Untuk informasi selengkapnya, lihat Lihat persyaratan grup keamanan Amazon EKS untuk cluster. Baca informasi tentang kelompok keamanan. Perbarui tag pada grup keamanan. Baca informasi tentang Reservasi On-Demand Kapasitas. Baca informasi tentang Grup Penempatan. Baca konfigurasi VPC termasuk tabel rute dan ACL jaringan untuk mendeteksi masalah konfigurasi sebagai bagian dari wawasan cluster.
ec2Mode Otomatis - Hentikan instans EC2 yang dibuat oleh Mode Otomatis EKS. Untuk informasi selengkapnya, lihat Mengotomatiskan infrastruktur klaster dengan Mode Otomatis EKS.
iam— Buat daftar semua kebijakan terkelola yang melekat pada peran IAM. Ini diperlukan agar Amazon EKS dapat mencantumkan dan memvalidasi semua kebijakan dan izin terkelola yang diperlukan untuk membuat klaster.
Kaitkan VPC dengan zona yang dihosting — Ini diperlukan oleh Amazon EKS untuk mengaktifkan jaringan endpoint pribadi untuk server API cluster Kubernetes Anda.
Peristiwa log - Ini diperlukan agar Amazon EKS dapat mengirimkan log pesawat kontrol Kubernetes ke. CloudWatch
Masukkan metrik - Ini diperlukan agar Amazon EKS dapat mengirimkan log pesawat kontrol Kubernetes ke. CloudWatch
eks- Kelola entri dan kebijakan akses klaster, memungkinkan kontrol halus atas siapa yang dapat mengakses sumber daya EKS dan tindakan apa yang dapat mereka lakukan. Ini termasuk mengaitkan kebijakan akses standar untuk operasi komputasi, jaringan, penyeimbangan beban, dan penyimpanan.
elasticloadbalancing- Buat, kelola, dan hapus penyeimbang beban dan komponennya (pendengar, grup target, sertifikat) yang terkait dengan kluster EKS. Lihat atribut penyeimbang beban dan status kesehatan.
events- Membuat dan mengelola EventBridge aturan untuk memantau EC2 dan peristiwa AWS Kesehatan yang terkait dengan kluster EKS, memungkinkan respons otomatis terhadap perubahan infrastruktur dan peringatan kesehatan.
iam- Kelola profil instans EC2 dengan awalan “eks”, termasuk daftar, pembuatan, penghapusan, dan asosiasi peran, yang diperlukan untuk manajemen node EKS. Memungkinkan mendeskripsikan profil instance apa pun untuk memungkinkan pengguna menentukan profil instance khusus untuk digunakan oleh node pekerja mereka.
pricingshield- Akses informasi AWS harga dan status perlindungan Shield, memungkinkan manajemen biaya dan fitur keamanan canggih untuk sumber daya EKS.
Pembersihan sumber daya - Hapus EKS-tagged sumber daya dengan aman termasuk volume, snapshot, template peluncuran, dan antarmuka jaringan selama operasi pembersihan klaster.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSVPCResourceController

Anda dapat melampirkan kebijakan AmazonEKSVPCResourceController ke identitas IAM Anda. Jika Anda menggunakan grup keamanan untuk Pod, Anda harus melampirkan kebijakan ini ke peran IAM klaster Amazon EKS untuk melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin peran klaster untuk mengelola Antarmuka Jaringan Elastis dan alamat IP untuk simpul.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2— Kelola Antarmuka Jaringan Elastis dan alamat IP untuk mendukung grup keamanan Pod dan node Windows.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSVPCResourceControllerdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSWorkerNodePolicy

Anda dapat melampirkan AmazonEKSWorkerNodePolicy ke entitas IAM Anda. Anda harus melampirkan kebijakan ini ke IAM role simpul yang Anda tentukan ketika membuat simpul Amazon EC2 yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Jika Anda membuat grup simpul menggunakan eksctl, ia akan membuat IAM role simpul dan melampirkan kebijakan ini ke peran secara otomatis.

Kebijakan ini memberikan izin kepada simpul Amazon EKS Amazon EC2 untuk terhubung ke klaster Amazon EKS.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2— Baca volume instance dan informasi jaringan. Hal ini diperlukan agar node Kubernetes dapat menjelaskan informasi tentang resource Amazon EC2 yang diperlukan node untuk bergabung dengan cluster Amazon EKS.
eks— Secara opsional menggambarkan cluster sebagai bagian dari node bootstrapping.
eks-auth:AssumeRoleForPodIdentity— Izinkan pengambilan kredensil untuk beban kerja EKS pada node. Hal ini diperlukan agar EKS Pod Identity berfungsi dengan baik.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSWorkerNodePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSWorkerNodeMinimalPolicy

Anda dapat melampirkan AmazonEKSWorkerNodeMinimalPolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM node yang Anda tentukan saat membuat node Amazon EC2 yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin kepada simpul Amazon EKS Amazon EC2 untuk terhubung ke klaster Amazon EKS. Kebijakan ini memiliki izin yang lebih sedikit dibandingkan AmazonEKSWorkerNodePolicy dengan.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

eks-auth:AssumeRoleForPodIdentity- Izinkan pengambilan kredensil untuk beban kerja EKS pada node. Hal ini diperlukan agar EKS Pod Identity berfungsi dengan baik.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSWorkerNodeMinimalPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup

Anda tidak dapat melampirkan AWSServiceRoleForAmazonEKSNodegroup ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan untuk Amazon EKS.

Kebijakan ini mengabulkan izin peran AWSServiceRoleForAmazonEKSNodegroup yang memungkinkannya untuk membuat dan mengelola grup simpul Amazon EC2 di akun Anda.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2— Bekerja dengan grup keamanan, tag, reservasi kapasitas, dan templat peluncuran. Ini diperlukan untuk grup node terkelola Amazon EKS untuk mengaktifkan konfigurasi akses jarak jauh dan untuk menjelaskan reservasi kapasitas yang dapat digunakan dalam grup node terkelola. Selain itu, grup simpul yang dikelola Amazon EKS membuat templat peluncuran atas nama Anda. Ini untuk mengonfigurasi grup Amazon EC2 Auto Scaling yang mendukung setiap grup simpul terkelola.
iam— Buat peran terkait layanan dan berikan peran. Ini diperlukan oleh grup simpul yang dikelola Amazon EKS dalam mengelola profil instans untuk peran yang diteruskan ketika membuat grup simpul terkelola. Profil instans ini digunakan oleh instans Amazon EC2 yang diluncurkan sebagai bagian dari grup simpul terkelola. Amazon EKS perlu membuat peran tertaut-layanan untuk layanan lain seperti grup Amazon EC2 Auto Scaling. Izin ini digunakan dalam pembuatan grup node terkelola.
autoscaling— Bekerja dengan grup Auto Scaling keamanan. Ini diperlukan oleh grup simpul yang dikelola Amazon EKS untuk mengelola grup Amazon EC2 Auto Scaling yang mendukung setiap grup simpul terkelola. Ini juga digunakan untuk mendukung fungsionalitas seperti mengusir Pod ketika node dihentikan atau didaur ulang selama pembaruan grup node dan mengelola kumpulan hangat yang dikonfigurasi pada grup node terkelola.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AWSServiceRoleForAmazonEKSNodegroupdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSDashboardServiceRolePolicy

Anda tidak dapat melampirkan AmazonEKSDashboardServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan untuk Amazon EKS.

Kebijakan ini memberikan izin AWSServiceRoleForAmazonEKSDashboard peran yang memungkinkannya melihat informasi tentang struktur dan akun AWS Organisasi Anda.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan akses untuk menyelesaikan tugas-tugas ini:

organizations— Lihat informasi tentang struktur dan akun AWS Organizations Anda. Ini termasuk izin untuk mencantumkan akun di organisasi Anda, melihat unit dan akar organisasi, daftar administrator yang didelegasikan, melihat layanan yang memiliki akses ke organisasi Anda, dan mengambil informasi terperinci tentang organisasi dan akun Anda.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSDashboardServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEBSCSIDriverPolicy

penting

Tersedia dua kebijakan IAM baru yang AWS dikelola yang memberikan pelingkupan izin yang lebih ketat: AmazonEBSCSIDriverPolicyV2untuk pelingkupan berbasis tag, atau untuk isolasi cakupan klaster. AmazonEBSCSIDriverEKSClusterScopedPolicy Jika tertarik untuk bermigrasi, lihat Migrasi kebijakan Driver EBS CSI.

AmazonEBSCSIDriverPolicyKebijakan ini memungkinkan driver Amazon EBS Container Storage Interface (CSI) untuk membuat, memodifikasi, menyalin, melampirkan, melepaskan, dan menghapus volume atas nama Anda. Ini termasuk memodifikasi tag pada volume yang ada dan mengaktifkan Pemulihan Snapshot Cepat (FSR) pada volume EBS. Ini juga memberikan izin driver EBS CSI untuk membuat, mengunci, memulihkan, dan menghapus snapshot, dan untuk membuat daftar instance, volume, dan snapshot Anda.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEBSCSIDriverServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEBSCSIDriverPolicyV2

AmazonEBSCSIDriverPolicyV2Kebijakan ini merupakan alternatif yang lebih ketat untukAmazonEBSCSIDriverPolicy. Ini membatasi driver Amazon EBS CSI untuk hanya mengelola volume EBS dan snapshot yang ditandai dengan kunci yang disetel ke. ebs.csi.aws.com/cluster true Volume yang disediakan oleh plugin volume Kubernetes (CSI-migrated volume) dalam pohon juga didukung melalui tag sumber daya. kubernetes.io/created-for/pvc/name

Jika bermigrasi dariAmazonEBSCSIDriverPolicy, silakan lihat Migrasi kebijakan Driver EBS CSI.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEBSCSIDriverPolicyV2di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEBSCSIDriverEKSClusterScopedPolicy

AmazonEBSCSIDriverEKSClusterScopedPolicyKebijakan ini membatasi driver Amazon EBS CSI untuk hanya mengelola volume EBS dan snapshot yang dimiliki oleh kluster EKS tertentu. Ini membutuhkan tag sumber daya ebs.csi.aws.com/cluster-name untuk mencocokkan eks-cluster-name tag pada prinsipal IAM, mencegah akses lintas cluster ketika beberapa cluster berbagi akun yang sama. AWS Melampirkan dan melepaskan operasi pada instance dibatasi untuk instance yang ditandai dengan eks:cluster-name tag (disetel secara otomatis oleh EKS pada grup node terkelola) atau ebs.csi.aws.com/cluster-name tag (untuk instance yang diberi tag secara manual).

Jika bermigrasi dariAmazonEBSCSIDriverPolicy, silakan lihat Migrasi kebijakan Driver EBS CSI.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEBSCSIDriverEKSClusterScopedPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEFSCSIDriverPolicy

AmazonEFSCSIDriverPolicyKebijakan ini memungkinkan Amazon EFS Container Storage Interface (CSI) untuk membuat dan menghapus titik akses atas nama Anda. Ini juga memberikan izin driver Amazon EFS CSI untuk mencantumkan titik akses, sistem file, target pemasangan, dan zona ketersediaan Amazon EC2 Anda.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEFSCSIDriverPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonS3FilesCSIDriverPolicy

AmazonS3FilesCSIDriverPolicyKebijakan ini memungkinkan Amazon EFS Container Storage Interface (CSI) untuk membuat dan menghapus jalur akses File Amazon S3 atas nama Anda. Ini juga memberikan izin driver Amazon EFS CSI untuk mencantumkan titik akses File Amazon S3 dan sistem file Anda.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonS3FilesCSIDriverPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSLocalOutpostClusterPolicy

Anda dapat melampirkan kebijakan ini ke entitas IAM. Sebelum membuat klaster lokal, Anda harus melampirkan kebijakan ini ke peran klaster Anda. Cluster Kubernetes yang dikelola oleh Amazon EKS melakukan panggilan ke AWS layanan lain atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan layanan.

AmazonEKSLocalOutpostClusterPolicyTermasuk izin berikut:

ec2tindakan baca - Memungkinkan instance bidang kontrol untuk menggambarkan Availability Zone, tabel rute, instance, dan properti antarmuka jaringan. Izin yang diperlukan untuk instans Amazon EC2 agar berhasil bergabung dengan cluster sebagai instance bidang kontrol.
ssm— Memungkinkan koneksi Amazon EC2 Systems Manager ke instans control plane, yang digunakan oleh Amazon EKS untuk berkomunikasi dan mengelola cluster lokal di akun Anda.
logs— Memungkinkan instance untuk mendorong log ke Amazon CloudWatch.
secretsmanager— Memungkinkan instance untuk mendapatkan dan menghapus data bootstrap untuk instance control plane dengan aman dari Secrets Manager AWS .
ecr— Memungkinkan Pod dan kontainer yang berjalan pada instance control plane untuk menarik gambar kontainer yang disimpan di Amazon Elastic Container Registry.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSLocalOutpostClusterPolicydi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AmazonEKSLocalOutpostServiceRolePolicy

Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Saat Anda membuat klaster menggunakan prinsipal IAM yang memiliki iam:CreateServiceLinkedRole izin, Amazon EKS secara otomatis membuat peran AWSServiceRoleforAmazonEKSLocalOutpostterkait layanan untuk Anda dan melampirkan kebijakan ini padanya. Kebijakan ini memungkinkan peran terkait layanan untuk memanggil AWS layanan atas nama Anda untuk kluster lokal.

AmazonEKSLocalOutpostServiceRolePolicyTermasuk izin berikut:

ec2— Memungkinkan Amazon EKS bekerja dengan keamanan, jaringan, dan sumber daya lainnya agar berhasil meluncurkan dan mengelola instans pesawat kontrol di akun Anda.
ssm, ssmmessages — Mengizinkan koneksi Amazon EC2 Systems Manager ke instans control plane, yang digunakan oleh Amazon EKS untuk berkomunikasi dan mengelola cluster lokal di akun Anda.
iam— Memungkinkan Amazon EKS mengelola profil instans yang terkait dengan instance bidang kontrol.
secretsmanager- Memungkinkan Amazon EKS untuk menempatkan data bootstrap untuk instance control plane ke AWS Secrets Manager sehingga dapat direferensikan dengan aman selama bootstrap instance.
outposts— Memungkinkan Amazon EKS mendapatkan informasi Outpost dari akun Anda agar berhasil meluncurkan cluster lokal di Outpost.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat AmazonEKSLocalOutpostServiceRolePolicydi Panduan Referensi Kebijakan AWS Terkelola.

Amazon EKS memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon EKS sejak layanan ini mulai melacak perubahan ini.

Untuk menerima pemberitahuan semua perubahan file sumber ke halaman dokumentasi khusus ini, Anda dapat berlangganan URL berikut dengan pembaca RSS:


https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom

Ubah	Deskripsi	Date
Menambahkan izin ke AmazonEBSCSIDriverPolicy.	Menambahkan aksi API baru `ec2:DescribeInstanceTypes` untuk memungkinkan Driver EBS CSI mengambil informasi volume limit/card secara dinamis saat runtime.	12 Mei 2026
Menambahkan izin ke AWS kebijakan terkelola: AmazonEKSServiceRolePolicy	Menambahkan `elasticloadbalancing:DescribeLoadBalancers` izin `AmazonEKSLoadBalancingPolicy` untuk mengizinkan Pengontrol Mode Otomatis Amazon EKS menjelaskan LoadBalancer	April 27, 2026
Menambahkan izin ke AWS kebijakan terkelola: AmazonEKSServiceRolePolicy	Menambahkan `elasticloadbalancing:DescribeCapacityReservation` izin `AmazonEKSLoadBalancingPolicy` untuk mengizinkan Pengontrol Mode Otomatis Amazon EKS menjelaskan unit LoadBalancer kapasitas	April 20, 2026
Menambahkan izin ke AWS kebijakan terkelola: AmazonEKSServiceRolePolicy	Ditambahkan `ec2:DescribeInstanceStatus` dan `iam:ListInstanceProfiles` izin di`AmazonEKSServiceRolePolicy`. Izin ini memungkinkan Amazon EKS Auto Mode menemukan peristiwa kesehatan EC2 untuk instans terkelola dan membersihkan profil instans terkelola	April 20, 2026
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSComputePolicy.	Izin sumber daya yang diperbarui untuk `ec2:CreateFleet` tindakan `ec2:RunInstances` dan untuk menyertakan grup `arn:aws: ec2:::placement-group/*` penempatan. Hal ini memungkinkan Amazon EKS Auto Mode untuk meluncurkan instans ke Grup Penempatan EC2 di akun Anda.	April 17, 2026
Diperkenalkan AmazonEBSCSIDriverPolicyV2dan AmazonEBSCSIDriverEKSClusterScopedPolicy.	Diperkenalkan `AmazonEBSCSIDriverPolicyV2` dan `AmazonEBSCSIDriverEKSClusterScopedPolicy` sebagai alternatif yang lebih ketat untuk`AmazonEBSCSIDriverPolicy`. `AmazonEBSCSIDriverPolicyV2`mencakup driver EBS CSI ke volume dan snapshot yang ditandai dengan set to. `ebs.csi.aws.com/cluster` `true` `AmazonEBSCSIDriverEKSClusterScopedPolicy`mencakup driver ke volume dan snapshot milik cluster EKS tertentu menggunakan tag. `ebs.csi.aws.com/cluster-name`	April 16, 2026
Menambahkan izin ke AmazonEKSServiceRolePolicy.	Menambahkan `ec2:DescribePlacementGroups` izin untuk mengizinkan Mode Otomatis Amazon EKS meluncurkan instans ke Grup Penempatan EC2 di akun Anda.	April 15, 2026
Izin yang diperbarui untukAWS kebijakan terkelola: AmazonEKSLoadBalancingPolicy.	Diperbarui`shield:CreateProtection`, `shield:DeleteProtection` izin masuk`AmazonEKSLoadBalancingPolicy`. Hal ini memungkinkan Amazon EKS Auto Mode Controller untuk menambahkan perlindungan perisai.	April 14, 2026
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSLoadBalancingPolicy.	`elasticloadbalancing:RegisterTargets`Izin yang diperbarui `AmazonEKSLoadBalancingPolicy` untuk menambahkan dukungan untuk multi-cluster dan targetgroupbinding kustom	Maret 20, 2026
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSLoadBalancingPolicy.	Menambahkan `elasticloadbalancing:ModifyIpPools` izin `AmazonEKSLoadBalancingPolicy` untuk menambahkan dukungan untuk pengaturan kolam IPAM untuk ALB	Maret 20, 2026
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSNetworkingPolicy.	Menambahkan `ec2:ModifyNetworkInterfaceAttribute` izin di`AmazonEKSNetworkingPolicy`. Hal ini memungkinkan Amazon EKS Auto Mode Controller untuk memodifikasi atribut antarmuka jaringan yang terkait dengan instans EC2	3 Februari 2026
Menambahkan izin keAWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup.	Ditambahkan `autoscaling:PutWarmPoolautoscaling:DeleteWarmPool`,, dan `autoscaling:DescribeWarmPool` izin untuk`AWSServiceRoleForAmazonEKSNodegroup`. Hal ini memungkinkan Amazon EKS Managed Nodegroups untuk mengelola sumber daya kumpulan hangat ASG yang mendasarinya di seluruh siklus hidup grup node.	Februari 17, 2026
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSServiceRolePolicy.	Menghapus persyaratan awalan “eks” atas nama profil instance target untuk `iam:GetInstanceProfile` izin masuk`AmazonEKSServiceRolePolicy`. Hal ini memungkinkan Amazon EKS Auto Mode untuk memvalidasi dan menggunakan profil instans kustom NodeClasses tanpa memerlukan awalan penamaan “eks”.	Februari 2, 2026
Menambahkan izin ke AmazonEBSCSIDriverPolicy.	Menambahkan `ec2:LockSnapshot` izin untuk mengizinkan Driver EBS CSI mengunci Snapshot EBS secara langsung.	Januari 15, 2026
DiperkenalkanAWS kebijakan terkelola: AmazonEKSMCPReadOnlyAccess.	Amazon EKS memperkenalkan kebijakan terkelola baru `AmazonEKSMCPReadOnlyAccess` untuk mengaktifkan alat hanya-baca di Amazon EKS MCP Server untuk observabilitas dan pemecahan masalah.	November 21, 2025
Menambahkan izin ke AmazonEBSCSIDriverPolicy.	Menambahkan `ec2:CopyVolumes` izin untuk mengizinkan Driver EBS CSI menyalin volume EBS secara langsung.	November 17, 2025
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSServiceRolePolicy.	Ditambahkan `ec2:DescribeRouteTables` dan `ec2:DescribeNetworkAcls` izin untuk`AmazonEKSServiceRolePolicy`. Hal ini memungkinkan Amazon EKS mendeteksi masalah konfigurasi dengan tabel rute VPC dan ACL jaringan untuk node hibrida sebagai bagian dari wawasan cluster.	Okt 22, 2025
Menambahkan izin ke AWSServiceRoleForAmazonEKSConnector	Menambahkan `ssmmessages:OpenDataChannel` izin ke `AmazonEKSConnectorServiceRolePolicy`	Oktober 15, 2025
Menambahkan izin ke AWS kebijakan terkelola: AmazonEKSServiceRolePolicy	Peran ini dapat melampirkan kebijakan akses baru`AmazonEKSEventPolicy`. Izin terbatas untuk `ec2:DeleteLaunchTemplate` dan`ec2:TerminateInstances`.	Agustus 26, 2025
Menambahkan izin ke AWS kebijakan terkelola: AmazonEKSLocalOutpostServiceRolePolicy	Menambahkan `ssmmessages:OpenDataChannel` izin ke`AmazonEKSLocalOutpostServiceRolePolicy`.	Juni 26, 2025
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSComputePolicy.	Izin sumber daya yang diperbarui untuk `ec2:CreateFleet` tindakan `ec2:RunInstances` dan untuk menyertakan reservasi `arn:aws: ec2:::capacity-reservation/*` kapasitas. Hal ini memungkinkan Amazon EKS Auto Mode untuk meluncurkan instans dengan menggunakan Reservasi On-Demand Kapasitas EC2 di akun Anda. Ditambahkan `iam:CreateServiceLinkedRole` untuk memungkinkan Amazon EKS Auto Mode untuk membuat peran terkait layanan EC2 Spot `AWSServiceRoleForEC2Spot` atas nama Anda.	Juni 20, 2025
Menambahkan izin ke AmazonEKSServiceRolePolicy.	Menambahkan `ec2:DescribeCapacityReservations` izin untuk mengizinkan Mode Otomatis Amazon EKS meluncurkan instans dengan menggunakan Reservasi On-Demand Kapasitas EC2 di akun Anda.	Juni 20, 2025
DiperkenalkanAWS kebijakan terkelola: AmazonEKSDashboardConsoleReadOnly.	Memperkenalkan `AmazonEKSDashboardConsoleReadOnly` kebijakan baru.	Juni 19, 2025
DiperkenalkanAWS kebijakan terkelola: AmazonEKSDashboardServiceRolePolicy.	Memperkenalkan `AmazonEKSDashboardServiceRolePolicy` kebijakan baru.	21 Mei 2025
Menambahkan izin ke AmazonEKSClusterPolicy.	Menambahkan `ec2:DeleteNetworkInterfaces` izin untuk mengizinkan Amazon EKS menghapus antarmuka jaringan elastis yang tertinggal jika VPC CNI berhenti secara tak terduga.	April 16, 2025
Menambahkan izin ke AmazonEKSServiceRolePolicy.	Ditambahkan `ec2:RevokeSecurityGroupEgress` dan `ec2:AuthorizeSecurityGroupEgress` izin untuk memungkinkan AI/ML pelanggan EKS menambahkan aturan Security Group Egress ke EKS Cluster SG default yang kompatibel dengan EFA, sebagai bagian dari rilis versi EKS 1.33.	April 14, 2025
Menambahkan izin ke AmazonEKSServiceRolePolicy.	Menambahkan izin untuk menghentikan instans EC2 yang dibuat oleh Mode Otomatis EKS.	Februari 28, 2025
Menambahkan izin ke AmazonEBSCSIDriverPolicy.	Menambahkan pernyataan baru yang mengotorisasi Driver EBS CSI untuk memulihkan semua snapshot. Ini sebelumnya diizinkan oleh kebijakan yang ada tetapi pernyataan eksplisit baru diperlukan karena perubahan dalam penanganan IAM untuk. `CreateVolume` Ditambahkan kemampuan untuk EBS CSI Driver untuk memodifikasi tag pada volume yang ada. Driver EBS CSI dapat memodifikasi tag volume yang ada melalui parameter di Kubernetes. VolumeAttributesClasses Menambahkan kemampuan untuk EBS CSI Driver untuk mengaktifkan Fast Snapshot Restore (FSR) pada volume EBS. Driver EBS CSI dapat mengaktifkan FSR pada volume baru melalui parameter di kelas penyimpanan Kubernetes.	Januari 13, 2025
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSLoadBalancingPolicy.	Diperbarui `AmazonEKSLoadBalancingPolicy` untuk memungkinkan daftar dan menggambarkan sumber daya jaringan dan alamat IP.	Desember 26, 2024
Menambahkan izin keAWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup.	Diperbarui `AWSServiceRoleForAmazonEKSNodegroup` untuk kompatibilitas dengan wilayah Tiongkok.	November 22, 2024
Menambahkan izin ke AWS kebijakan terkelola: AmazonEKSLocalOutpostClusterPolicy	Menambahkan `ec2:DescribeAvailabilityZones` izin `AmazonEKSLocalOutpostClusterPolicy` agar AWS Cloud Controller Manager pada bidang kontrol cluster dapat mengidentifikasi Availability Zone tempat setiap node berada.	November 21, 2024
Menambahkan izin keAWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup.	`AWSServiceRoleForAmazonEKSNodegroup`Kebijakan yang diperbarui `ec2:RebootInstances` untuk mengizinkan instance yang dibuat oleh grup simpul terkelola Amazon EKS. Membatasi `ec2:CreateTags` izin untuk sumber daya Amazon EC2.	November 20, 2024
Menambahkan izin keAWS kebijakan terkelola: AmazonEKSServiceRolePolicy.	EKS memperbarui kebijakan AWS terkelola`AmazonEKSServiceRolePolicy`. Menambahkan izin untuk kebijakan akses EKS, manajemen penyeimbang beban, dan pembersihan sumber daya klaster otomatis.	November 16, 2024
DiperkenalkanAWS kebijakan terkelola: AmazonEKSComputePolicy.	EKS memperbarui kebijakan AWS terkelola`AmazonEKSComputePolicy`. Izin sumber daya yang diperbarui untuk `iam:AddRoleToInstanceProfile` tindakan tersebut.	November 7, 2024
DiperkenalkanAWS kebijakan terkelola: AmazonEKSComputePolicy.	AWS memperkenalkan`AmazonEKSComputePolicy`.	November 1, 2024
Menambahkan izin ke `AmazonEKSClusterPolicy`	Menambahkan `ec2:DescribeInstanceTopology` izin untuk mengizinkan Amazon EKS melampirkan informasi topologi ke node sebagai label.	November 1, 2024
DiperkenalkanAWS kebijakan terkelola: AmazonEKSBlockStoragePolicy.	AWS memperkenalkan`AmazonEKSBlockStoragePolicy`.	Oktober 30, 2024
DiperkenalkanAWS kebijakan terkelola: AmazonEKSLoadBalancingPolicy.	AWS memperkenalkan`AmazonEKSLoadBalancingPolicy`.	Oktober 30, 2024
Menambahkan izin ke AmazonEKSServiceRolePolicy.	Menambahkan `cloudwatch:PutMetricData` izin untuk mengizinkan Amazon EKS mempublikasikan metrik ke Amazon. CloudWatch	Oktober 29, 2024
DiperkenalkanAWS kebijakan terkelola: AmazonEKSNetworkingPolicy.	AWS memperkenalkan`AmazonEKSNetworkingPolicy`.	Oktober 28, 2024
Menambahkan izin ke dan `AmazonEKSServicePolicy` `AmazonEKSServiceRolePolicy`	Izin tag yang ditambahkan `ec2:GetSecurityGroupsForVpc` dan terkait untuk memungkinkan EKS membaca informasi grup keamanan dan memperbarui tag terkait.	Oktober 10, 2024
Diperkenalkan AmazonEKSWorkerNodeMinimalPolicy.	AWS memperkenalkan`AmazonEKSWorkerNodeMinimalPolicy`.	Oktober 3, 2024
Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.	Ditambahkan `autoscaling:ResumeProcesses` dan `autoscaling:SuspendProcesses` izin untuk mengizinkan Amazon EKS menangguhkan dan melanjutkan di grup `AZRebalance` Amazon Auto EKS-managed Scaling.	Agustus 21, 2024
Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.	Menambahkan `ec2:DescribeCapacityReservations` izin untuk mengizinkan Amazon EKS menjelaskan reservasi kapasitas di akun pengguna. Menambahkan `autoscaling:PutScheduledUpdateGroupAction` izin untuk mengaktifkan pengaturan penskalaan terjadwal pada grup `CAPACITY_BLOCK` node.	27 Juni 2024
Amazoneks_CNI_POLICY - Update ke kebijakan yang ada	Amazon EKS menambahkan `ec2:DescribeSubnets` izin baru untuk memungkinkan plugin Amazon VPC CNI untuk Kubernetes melihat jumlah alamat IP gratis di subnet VPC Amazon Anda. VPC CNI dapat menggunakan alamat IP gratis di setiap subnet untuk memilih subnet dengan alamat IP paling gratis untuk digunakan saat membuat elastic network interface.	Maret 4, 2024
AmazonEKSWorkerNodePolicy – Pembaruan ke kebijakan yang ada	Amazon EKS menambahkan izin baru untuk mengizinkan Identitas Pod EKS. Amazon EKS Pod Identity Agent menggunakan peran node.	26 November 2023
Diperkenalkan AmazonEFSCSIDriverPolicy.	AWS memperkenalkan`AmazonEFSCSIDriverPolicy`.	26 Juli 2023
Menambahkan izin ke AmazonEKSClusterPolicy.	Menambahkan `ec2:DescribeAvailabilityZones` izin untuk mengizinkan Amazon EKS mendapatkan detail AZ selama penemuan otomatis subnet sambil membuat penyeimbang beban.	7 Februari 2023
Kondisi kebijakan yang diperbarui di AmazonEBSCSIDriverPolicy.	Menghapus kondisi kebijakan yang tidak valid dengan karakter wildcard di bidang kunci. `StringLike` Juga menambahkan kondisi `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` baru`ec2:DeleteVolume`, yang memungkinkan driver EBS CSI untuk menghapus volume yang dibuat oleh plugin in-tree.	17 November 2022
Menambahkan izin ke AmazonEKSLocalOutpostServiceRolePolicy.	Ditambahkan`ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` dan `ec2:DescribeSecret` untuk memungkinkan validasi prasyarat yang lebih baik dan kontrol siklus hidup terkelola. Juga ditambahkan `ec2:DescribePlacementGroups` dan `"arn:aws: ec2:::placement-group/*"` `ec2:RunInstances` untuk mendukung kontrol penempatan pesawat kontrol instans Amazon EC2 di Outposts.	24 Oktober 2022
Perbarui izin Amazon Elastic Container Registry di AmazonEKSLocalOutpostClusterPolicy.	Tindakan yang dipindahkan `ecr:GetDownloadUrlForLayer` dari semua bagian sumber daya ke bagian cakupan. Menambahkan sumber daya`arn:aws: ecr:::repository/eks/`. Sumber daya yang dihapus `arn:aws: ecr:`. Sumber daya ini dicakup oleh `arn:aws: ecr:::repository/eks/*` sumber daya tambahan.	20 Oktober 2022
Menambahkan izin ke AmazonEKSLocalOutpostClusterPolicy.	Menambahkan repositori `arn:aws: ecr:::repository/kubelet-config-updater` Amazon Elastic Container Registry sehingga instance bidang kontrol cluster dapat memperbarui beberapa argumen. `kubelet`	31 Agustus 2022
Diperkenalkan AmazonEKSLocalOutpostClusterPolicy.	AWS memperkenalkan`AmazonEKSLocalOutpostClusterPolicy`.	Agustus 24, 2022
Diperkenalkan AmazonEKSLocalOutpostServiceRolePolicy.	AWS memperkenalkan`AmazonEKSLocalOutpostServiceRolePolicy`.	23 Agustus 2022
Diperkenalkan AmazonEBSCSIDriverPolicy.	AWS memperkenalkan`AmazonEBSCSIDriverPolicy`.	4 April 2022
Menambahkan izin ke AmazonEKSWorkerNodePolicy.	Ditambahkan `ec2:DescribeInstanceTypes` untuk mengaktifkan EKS-optimized AMI Amazon yang dapat menemukan properti tingkat instans secara otomatis.	Maret 21, 2022
Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.	Menambahkan `autoscaling:EnableMetricsCollection` izin untuk mengizinkan Amazon EKS mengaktifkan pengumpulan metrik.	13 Desember 2021
Menambahkan izin ke AmazonEKSClusterPolicy.	Izin `ec2:DescribeAccountAttributes`, `ec2:DescribeAddresses`, dan `ec2:DescribeInternetGateways` ditambahkan agar Amazon EKS diizinkan untuk membuat peran tertaut layanan bagi Penyeimbang Beban Jaringan.	17 Juni 2021
Amazon EKS mulai melacak perubahan.	Amazon EKS mulai melacak perubahan untuk kebijakan yang AWS dikelola.	17 Juni 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Peran konektor IAM

Pemecahan masalah