AWS kebijakan terkelola untuk Amazon Elastic Kubernetes Service - Amazon EKS
AWS kebijakan terkelola: Amazon EKS _ CNI _PolicyAWS kebijakan terkelola: mazonEKSCluster KebijakanAWS kebijakan terkelola: A mazonEKSFargate PodExecutionRolePolicyAWS kebijakan terkelola: A mazonEKSFor FargateServiceRolePolicyAWS kebijakan terkelola: mazonEKSCompute KebijakanAWS kebijakan terkelola: mazonEKSNetworking KebijakanAWS kebijakan terkelola: A mazonEKSBlock StoragePolicyAWS kebijakan terkelola: A mazonEKSLoad BalancingPolicyAWS kebijakan terkelola: mazonEKSService KebijakanAWS kebijakan terkelola: A mazonEKSService RolePolicyAWS kebijakan terkelola: mazonEKSVPCResource PengontrolAWS kebijakan terkelola: A mazonEKSWorker NodePolicyAWS kebijakan terkelola: A mazonEKSWorker NodeMinimalPolicyAWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroupAWS kebijakan terkelola: mazonEBSCSIDriver KebijakanAWS kebijakan terkelola: mazonEFSCSIDriver KebijakanAWS kebijakan terkelola: A mazonEKSLocal OutpostClusterPolicyAWS kebijakan terkelola: A mazonEKSLocal OutpostServiceRolePolicyAmazon EKS memperbarui kebijakan AWS terkelola

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Gulir ke bagian bawah halaman ini dan pilih Edit halaman ini GitHub. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Elastic Kubernetes Service

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola ketika AWS layanan baru diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

AWS kebijakan terkelola: Amazon EKS _ CNI _Policy

Anda dapat melampirkan AmazonEKS_CNI_Policy ke IAM entitas Anda. Sebelum Anda membuat grup EC2 node Amazon, kebijakan ini harus dilampirkan ke IAMperan node, atau ke IAM peran yang digunakan secara khusus oleh Amazon VPC CNI plugin for Kubernetes. Ini agar dapat melakukan tindakan atas nama Anda. Kami menyarankan Anda melampirkan kebijakan ke peran yang hanya digunakan oleh plugin. Untuk informasi selengkapnya, silakan lihat Amazon VPC CNI dan Konfigurasikan VPC CNI plugin Amazon untuk digunakan IRSA.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • ec2:*NetworkInterfacedan ec2:*PrivateIpAddresses — Memungkinkan VPC CNI plugin Amazon untuk melakukan tindakan seperti penyediaan Antarmuka Jaringan Elastis dan alamat IP untuk Pods untuk menyediakan jaringan untuk aplikasi yang berjalan di AmazonEKS.

  • ec2baca tindakan - Memungkinkan VPC CNI plugin Amazon untuk melakukan tindakan seperti mendeskripsikan instance dan subnet untuk melihat jumlah alamat IP gratis di subnet Amazon VPC Anda. VPCCNIAnda dapat menggunakan alamat IP gratis di setiap subnet untuk memilih subnet dengan alamat IP paling gratis untuk digunakan saat membuat elastic network interface.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat Amazon EKS _ CNI _Policy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: mazonEKSCluster Kebijakan

Anda dapat melampirkan AmazonEKSClusterPolicy ke IAM entitas Anda. Sebelum membuat klaster, Anda harus memiliki IAMperan klaster dengan kebijakan ini terlampir. Kubernetes cluster yang dikelola oleh Amazon EKS melakukan panggilan ke AWS layanan lain atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan layanan.

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • autoscaling— Baca dan perbarui konfigurasi grup Auto Scaling. Izin ini tidak digunakan oleh Amazon EKS tetapi tetap dalam kebijakan kompatibilitas mundur.

  • ec2— Bekerja dengan volume dan sumber daya jaringan yang terkait dengan EC2 node Amazon. Hal ini diperlukan agar Kubernetes control plane dapat menggabungkan instance ke klaster dan secara dinamis menyediakan serta mengelola EBS volume Amazon yang diminta oleh Kubernetes volume persisten.

  • elasticloadbalancing— Bekerja dengan Elastic Load Balancers dan tambahkan node ke dalamnya sebagai target. Hal ini diperlukan agar Kubernetes bidang kontrol dapat secara dinamis menyediakan Elastic Load Balancer yang diminta oleh Kubernetes layanan.

  • iam— Buat peran terkait layanan. Hal ini diperlukan agar Kubernetes bidang kontrol dapat secara dinamis menyediakan Elastic Load Balancer yang diminta oleh Kubernetes layanan.

  • kmsBaca kunci dari AWS KMS. Hal ini diperlukan untuk Kubernetes pesawat kontrol untuk mendukung enkripsi rahasia Kubernetes rahasia disimpan dietcd.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat Kebijakan di Panduan Referensi Kebijakan AWS Terkelola. mazonEKSCluster

AWS kebijakan terkelola: A mazonEKSFargate PodExecutionRolePolicy

Anda dapat melampirkan AmazonEKSFargatePodExecutionRolePolicy ke IAM entitas Anda. Sebelum Anda dapat membuat profil Fargate, Anda harus membuat Fargate Pod peran eksekusi dan lampirkan kebijakan ini padanya. Untuk informasi selengkapnya, silakan lihat Langkah 2: Buat Fargate Pod Peran eksekusi dan Tentukan yang mana Pods gunakan AWS Fargate saat diluncurkan.

Kebijakan ini memberikan peran izin yang menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk menjalankan Amazon EKS Pods di Fargate.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • ecr— Memungkinkan Pod yang berjalan di Fargate untuk menarik gambar kontainer yang disimpan di Amazon. ECR

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSFargate PodExecutionRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: A mazonEKSFor FargateServiceRolePolicy

Anda tidak dapat melampirkan AmazonEKSForFargateServiceRolePolicy ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat AWSServiceRoleforAmazonEKSForFargate.

Kebijakan ini memberikan izin yang diperlukan EKS ke Amazon untuk menjalankan tugas Fargate. Kebijakan ini hanya digunakan jika Anda memiliki simpul Fargate.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut.

  • ec2— Buat dan hapus Antarmuka Jaringan Elastis dan jelaskan Antarmuka dan sumber daya Jaringan Elastis. Ini diperlukan agar layanan Amazon EKS Fargate dapat mengonfigurasi VPC jaringan yang diperlukan untuk Pod Fargate.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSFor FargateServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: mazonEKSCompute Kebijakan

Anda dapat melampirkan AmazonEKSComputePolicy ke IAM entitas Anda. Anda dapat melampirkan kebijakan ini ke IAMperan klaster untuk memperluas sumber daya yang EKS dapat dikelola di akun Anda.

Kebijakan ini memberikan izin yang diperlukan Amazon EKS untuk membuat dan mengelola EC2 instance untuk EKS klaster, serta IAM izin yang diperlukan untuk mengonfigurasi. EC2

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • ec2Izin:

    • ec2:CreateFleetdan ec2:RunInstances - Memungkinkan membuat EC2 instance dan menggunakan EC2 sumber daya tertentu (gambar, grup keamanan, subnet) untuk node EKS cluster.

    • ec2:CreateLaunchTemplate- Memungkinkan membuat template EC2 peluncuran untuk node EKS cluster.

    • Kebijakan ini juga mencakup ketentuan untuk membatasi penggunaan EC2 izin ini ke sumber daya yang ditandai dengan nama EKS klaster dan tag lain yang relevan.

    • ec2:CreateTags- Memungkinkan menambahkan tag ke EC2 sumber daya yang dibuat olehCreateFleet,RunInstances, dan CreateLaunchTemplate tindakan.

  • iamIzin:

    • iam:AddRoleToInstanceProfile- Memungkinkan menambahkan IAM peran ke profil instance EKS komputasi.

    • iam:PassRole- Memungkinkan meneruskan IAM peran yang diperlukan ke EC2 layanan.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat Kebijakan di Panduan Referensi Kebijakan AWS Terkelola. mazonEKSCompute

AWS kebijakan terkelola: mazonEKSNetworking Kebijakan

Anda dapat melampirkan AmazonEKSNetworkingPolicy ke IAM entitas Anda. Anda dapat melampirkan kebijakan ini ke IAMperan klaster untuk memperluas sumber daya yang EKS dapat dikelola di akun Anda.

Kebijakan ini dirancang untuk memberikan izin yang diperlukan bagi Amazon EKS untuk membuat dan mengelola antarmuka jaringan untuk EKS klaster, memungkinkan bidang kontrol dan node pekerja untuk berkomunikasi dan berfungsi dengan baik.

Detail izin

Kebijakan ini memberikan izin berikut untuk mengizinkan Amazon mengelola antarmuka jaringan EKS untuk klaster:

  • ec2Izin Antarmuka Jaringan:

    • ec2:CreateNetworkInterface- Memungkinkan membuat antarmuka EC2 jaringan.

    • Kebijakan ini mencakup kondisi untuk membatasi penggunaan izin ini ke antarmuka jaringan yang ditandai dengan nama EKS cluster dan nama node CNI Kubernetes.

    • ec2:CreateTags- Memungkinkan menambahkan tag ke antarmuka jaringan yang dibuat oleh CreateNetworkInterface tindakan.

  • ec2Izin Manajemen Antarmuka Jaringan:

    • ec2:AttachNetworkInterface, ec2:DetachNetworkInterface - Memungkinkan melampirkan dan melepaskan antarmuka jaringan ke instance. EC2

    • ec2:UnassignPrivateIpAddresses,ec2:UnassignIpv6Addresses,ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses - Memungkinkan mengelola penetapan alamat IP dari antarmuka jaringan.

    • Izin ini dibatasi untuk antarmuka jaringan yang ditandai dengan nama cluster. EKS

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat Kebijakan di Panduan Referensi Kebijakan AWS Terkelola. mazonEKSNetworking

AWS kebijakan terkelola: A mazonEKSBlock StoragePolicy

Anda dapat melampirkan AmazonEKSBlockStoragePolicy ke IAM entitas Anda. Anda dapat melampirkan kebijakan ini ke IAMperan klaster untuk memperluas sumber daya yang EKS dapat dikelola di akun Anda.

Kebijakan ini memberikan izin yang diperlukan EKS bagi Amazon untuk membuat, mengelola, dan memelihara EC2 volume dan snapshot untuk EKS klaster, memungkinkan control plane dan node worker untuk menyediakan dan menggunakan penyimpanan persisten seperti yang dipersyaratkan oleh beban kerja Kubernetes.

Detail izin

IAMKebijakan ini memberikan izin berikut untuk memungkinkan Amazon EKS mengelola EC2 volume dan snapshot:

  • ec2Izin Manajemen Volume:

    • ec2:AttachVolume,ec2:DetachVolume,ec2:ModifyVolume, ec2:EnableFastSnapshotRestores - Memungkinkan melampirkan, melepaskan, memodifikasi, dan memungkinkan pemulihan snapshot cepat untuk volume. EC2

    • Izin ini dibatasi untuk volume yang ditandai dengan nama EKS cluster.

    • ec2:CreateTags- Memungkinkan menambahkan tag ke EC2 volume dan snapshot yang dibuat oleh CreateVolume dan CreateSnapshot tindakan.

  • ec2Izin Pembuatan Volume:

    • ec2:CreateVolume- Memungkinkan membuat EC2 volume baru.

    • Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini ke volume yang ditandai dengan nama EKS klaster dan tag lain yang relevan.

    • ec2:CreateSnapshot- Memungkinkan membuat snapshot EC2 volume baru.

    • Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini ke snapshot yang ditandai dengan nama EKS cluster dan tag lain yang relevan.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSBlock StoragePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: A mazonEKSLoad BalancingPolicy

Anda dapat melampirkan AmazonEKSLoadBalancingPolicy ke IAM entitas Anda. Anda dapat melampirkan kebijakan ini ke IAMperan klaster untuk memperluas sumber daya yang EKS dapat dikelola di akun Anda.

IAMKebijakan ini memberikan izin yang diperlukan bagi Amazon EKS untuk bekerja dengan berbagai AWS layanan untuk mengelola Elastic Load Balancers (ELBs) dan sumber daya terkait.

Detail izin

Izin utama yang diberikan oleh kebijakan ini adalah:

  • elasticloadbalancing: Memungkinkan membuat, memodifikasi, dan mengelola Elastic Load Balancers dan Target Groups. Ini termasuk izin untuk membuat, memperbarui, dan menghapus penyeimbang beban, grup target, pendengar, dan aturan.

  • ec2: Memungkinkan pembuatan dan pengelolaan grup keamanan, yang diperlukan untuk control plane Kubernetes untuk menggabungkan instance ke klaster dan mengelola volume Amazon. EBS

  • iam: Memungkinkan pembuatan peran terkait layanan untuk Elastic Load Balancing, yang diperlukan agar bidang kontrol Kubernetes dapat disediakan secara dinamis. ELBs

  • kms: Memungkinkan membaca kunci dari AWS KMS, yang diperlukan untuk bidang kontrol Kubernetes untuk mendukung enkripsi rahasia Kubernetes yang disimpan dalam etcd.

  • wafv2dan shield: Memungkinkan mengaitkan dan memisahkan Web dan ACLs membuat/menghapus perlindungan AWS Shield untuk Elastic Load Balancer.

  • cognito-idp, acm, and elasticloadbalancing: Memberikan izin untuk mendeskripsikan klien kumpulan pengguna, membuat daftar dan mendeskripsikan sertifikat, dan mendeskripsikan grup target, yang diperlukan untuk bidang kontrol Kubernetes untuk mengelola Elastic Load Balancers.

Kebijakan ini juga mencakup beberapa pemeriksaan kondisi untuk memastikan bahwa izin dicakup ke EKS kluster tertentu yang dikelola, menggunakan tag. eks:eks-cluster-name

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSLoad BalancingPolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: mazonEKSService Kebijakan

Anda dapat melampirkan AmazonEKSServicePolicy ke IAM entitas Anda. Cluster yang dibuat sebelum 16 April 2020, mengharuskan Anda untuk membuat IAM peran dan melampirkan kebijakan ini padanya. Cluster yang dibuat pada atau setelah 16 April 2020, tidak mengharuskan Anda untuk membuat peran dan tidak mengharuskan Anda untuk menetapkan kebijakan ini. Saat Anda membuat klaster menggunakan IAM prinsipal yang memiliki iam:CreateServiceLinkedRole izin, peran AWSServiceRoleforAmazonEKSterkait layanan akan dibuat secara otomatis untuk Anda. Peran terkait layanan memiliki kebijakan terkelola: A yang mazonEKSService RolePolicy melekat padanya.

Kebijakan ini memungkinkan Amazon EKS membuat dan mengelola sumber daya yang diperlukan untuk mengoperasikan EKS klaster Amazon.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut.

  • eks— Perbarui Kubernetes versi cluster Anda setelah Anda memulai pembaruan. Izin ini tidak digunakan oleh Amazon EKS tetapi tetap dalam kebijakan kompatibilitas mundur.

  • ec2— Bekerja dengan Antarmuka Jaringan Elastis dan sumber daya dan tag jaringan lainnya. Ini diperlukan oleh Amazon EKS untuk mengonfigurasi jaringan yang memfasilitasi komunikasi antara node dan Kubernetes pesawat kontrol. Baca informasi tentang kelompok keamanan. Perbarui tag pada grup keamanan.

  • route53— Kaitkan a VPC dengan zona yang dihosting. Ini diperlukan oleh Amazon EKS untuk mengaktifkan jaringan titik akhir pribadi untuk Anda Kubernetes APIserver kluster.

  • logs— Log peristiwa. Ini diperlukan agar Amazon EKS dapat mengirim Kubernetes mengontrol log pesawat ke CloudWatch.

  • iam— Buat peran terkait layanan. Ini diperlukan agar Amazon EKS dapat membuat peran Izin peran terkait layanan untuk Amazon EKS terkait layanan atas nama Anda.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat Kebijakan di Panduan Referensi Kebijakan AWS Terkelola. mazonEKSService

AWS kebijakan terkelola: A mazonEKSService RolePolicy

Anda tidak dapat melampirkan AmazonEKSServiceRolePolicy ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk Amazon EKS. Saat Anda membuat klaster menggunakan IAM prinsipal yang memiliki iam:CreateServiceLinkedRole izin, peran AWSServiceRoleforAmazonEKSterkait layanan akan dibuat secara otomatis untuk Anda dan kebijakan ini dilampirkan padanya.

Kebijakan ini memungkinkan peran terkait layanan untuk memanggil AWS layanan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut.

  • ec2— Buat dan jelaskan Antarmuka Jaringan Elastis dan EC2 instans Amazon, grup keamanan klaster, dan VPC yang diperlukan untuk membuat klaster. Untuk informasi selengkapnya, lihat Lihat persyaratan grup EKS keamanan Amazon untuk klaster. Baca informasi tentang kelompok keamanan. Perbarui tag pada grup keamanan.

  • iam— Buat daftar semua kebijakan terkelola yang melekat pada suatu IAM peran. Ini diperlukan agar Amazon EKS dapat mencantumkan dan memvalidasi semua kebijakan dan izin terkelola yang diperlukan untuk membuat klaster.

  • Kaitkan VPC dengan zona yang dihosting - Ini diperlukan oleh Amazon EKS untuk mengaktifkan jaringan titik akhir pribadi untuk Anda Kubernetes APIserver kluster.

  • Peristiwa log - Ini diperlukan agar Amazon EKS dapat mengirim Kubernetes mengontrol log pesawat ke CloudWatch.

  • Masukkan metrik - Ini diperlukan agar Amazon EKS dapat mengirim Kubernetes mengontrol log pesawat ke CloudWatch.

  • eks- Kelola entri dan kebijakan akses klaster, memungkinkan kontrol halus atas siapa yang dapat mengakses EKS sumber daya dan tindakan apa yang dapat mereka lakukan. Ini termasuk mengaitkan kebijakan akses standar untuk operasi komputasi, jaringan, penyeimbangan beban, dan penyimpanan.

  • elasticloadbalancing- Buat, kelola, dan hapus penyeimbang beban dan komponennya (pendengar, grup target, sertifikat) yang terkait dengan cluster. EKS Lihat atribut penyeimbang beban dan status kesehatan.

  • events- Membuat dan mengelola EventBridge aturan untuk pemantauan EC2 dan acara AWS Kesehatan yang terkait dengan EKS cluster, memungkinkan respons otomatis terhadap perubahan infrastruktur dan peringatan kesehatan.

  • iam- Kelola profil EC2 instance dengan awalan “eks”, termasuk pembuatan, penghapusan, dan asosiasi peran, yang diperlukan untuk EKS manajemen node.

  • pricing& shield- Akses informasi AWS harga dan status perlindungan Shield, memungkinkan manajemen biaya dan fitur keamanan canggih untuk EKS sumber daya.

  • Pembersihan sumber daya - Hapus sumber daya EKS yang ditandai dengan aman termasuk volume, snapshot, templat peluncuran, dan antarmuka jaringan selama operasi pembersihan klaster.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSService RolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: mazonEKSVPCResource Pengontrol

Anda dapat melampirkan kebijakan AmazonEKSVPCResourceController ke identitas IAM Anda. Jika Anda menggunakan grup keamanan untuk Pod, Anda harus melampirkan kebijakan ini ke IAMperan EKS klaster Amazon untuk melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin peran klaster untuk mengelola Antarmuka Jaringan Elastis dan alamat IP untuk simpul.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • ec2— Kelola Antarmuka Jaringan Elastis dan alamat IP untuk mendukung Pod kelompok keamanan dan Windows simpul.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat mazonEKSVPCResourcePengontrol di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: A mazonEKSWorker NodePolicy

Anda dapat melampirkan AmazonEKSWorkerNodePolicy ke IAM entitas Anda. Anda harus melampirkan kebijakan ini ke IAMperan node yang Anda tentukan saat membuat EC2 node Amazon yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda. Jika Anda membuat grup node menggunakaneksctl, itu akan membuat IAM peran node dan melampirkan kebijakan ini ke peran secara otomatis.

Kebijakan ini memberikan izin EC2 node EKS Amazon Amazon untuk terhubung ke klaster AmazonEKS.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • ec2— Baca volume instance dan informasi jaringan. Hal ini diperlukan agar Kubernetes node dapat menjelaskan informasi tentang EC2 sumber daya Amazon yang diperlukan untuk node untuk bergabung dengan EKS cluster Amazon.

  • eks— Secara opsional menggambarkan cluster sebagai bagian dari node bootstrapping.

  • eks-auth:AssumeRoleForPodIdentity— Izinkan pengambilan kredensil untuk EKS beban kerja pada node. Hal ini diperlukan agar EKS Pod Identity berfungsi dengan baik.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSWorker NodePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: A mazonEKSWorker NodeMinimalPolicy

Anda dapat melampirkan A mazonEKSWorker NodeMinimalPolicy ke IAM entitas Anda. Anda dapat melampirkan kebijakan ini ke IAM peran node yang Anda tentukan saat membuat EC2 node Amazon yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin EC2 node EKS Amazon Amazon untuk terhubung ke klaster AmazonEKS. Kebijakan ini memiliki izin yang lebih sedikit dibandingkan dengan A mazonEKSWorkerNodePolicy.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • eks-auth:AssumeRoleForPodIdentity- Izinkan pengambilan kredensional untuk EKS beban kerja pada node. Hal ini diperlukan agar EKS Pod Identity berfungsi dengan baik.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSWorker NodePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup

Anda tidak dapat melampirkan AWSServiceRoleForAmazonEKSNodegroup ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran terkait layanan untuk Amazon EKS.

Kebijakan ini memberikan izin AWSServiceRoleForAmazonEKSNodegroup peran yang memungkinkannya membuat dan mengelola grup EC2 node Amazon di akun Anda.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon menyelesaikan EKS tugas-tugas berikut:

  • ec2— Bekerja dengan grup keamanan, tag, reservasi kapasitas, dan templat peluncuran. Ini diperlukan untuk grup node EKS terkelola Amazon untuk mengaktifkan konfigurasi akses jarak jauh dan untuk menjelaskan reservasi kapasitas yang dapat digunakan dalam grup node terkelola. Selain itu, grup node EKS terkelola Amazon membuat template peluncuran atas nama Anda. Ini untuk mengonfigurasi grup EC2 Auto Scaling Amazon yang mendukung setiap grup node terkelola.

  • iam— Buat peran terkait layanan dan berikan peran. Ini diperlukan oleh grup node EKS terkelola Amazon untuk mengelola profil instance untuk peran yang diteruskan saat membuat grup node terkelola. Profil instance ini digunakan oleh EC2 instans Amazon yang diluncurkan sebagai bagian dari grup node terkelola. Amazon EKS perlu membuat peran terkait layanan untuk layanan lain seperti grup Amazon Auto EC2 Scaling. Izin ini digunakan dalam pembuatan grup node terkelola.

  • autoscaling— Bekerja dengan grup Auto Scaling keamanan. Ini diperlukan oleh grup node EKS terkelola Amazon untuk mengelola grup EC2 Auto Scaling Amazon yang mendukung setiap grup node terkelola. Ini juga digunakan untuk mendukung fungsionalitas seperti mengusir Pods ketika node dihentikan atau didaur ulang selama pembaruan grup node.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat AWSServiceRoleForAmazonEKSNodegroupdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: mazonEBSCSIDriver Kebijakan

AmazonEBSCSIDriverPolicyKebijakan ini memungkinkan driver Amazon EBS Container Storage Interface (CSI) untuk membuat, memodifikasi, melampirkan, melepaskan, dan menghapus volume atas nama Anda. Ini juga memberikan izin EBS CSI driver untuk membuat dan menghapus snapshot, dan untuk membuat daftar instance, volume, dan snapshot Anda.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEBSCSIDriver ServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: mazonEFSCSIDriver Kebijakan

AmazonEFSCSIDriverPolicyKebijakan ini memungkinkan Amazon EFS Container Storage Interface (CSI) untuk membuat dan menghapus titik akses atas nama Anda. Ini juga memberikan izin EFS CSI driver Amazon untuk mencantumkan sistem file titik akses Anda, target pemasangan, dan zona EC2 ketersediaan Amazon.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEFSCSIDriver ServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: A mazonEKSLocal OutpostClusterPolicy

Anda dapat melampirkan kebijakan ini ke IAM entitas. Sebelum membuat klaster lokal, Anda harus melampirkan kebijakan ini ke peran klaster Anda. Kubernetes cluster yang dikelola oleh Amazon EKS melakukan panggilan ke AWS layanan lain atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan layanan.

AmazonEKSLocalOutpostClusterPolicyTermasuk izin berikut:

  • ec2tindakan baca - Memungkinkan instance bidang kontrol untuk menggambarkan Availability Zone, tabel rute, instance, dan properti antarmuka jaringan. Izin yang diperlukan untuk EC2 instans Amazon agar berhasil bergabung dengan cluster sebagai instance bidang kontrol.

  • ssm— Memungkinkan koneksi Amazon EC2 Systems Manager ke instance control plane, yang digunakan oleh Amazon EKS untuk berkomunikasi dan mengelola klaster lokal di akun Anda.

  • logs— Memungkinkan instance untuk mendorong log ke Amazon CloudWatch.

  • secretsmanager— Memungkinkan instance untuk mendapatkan dan menghapus data bootstrap untuk instance control plane dengan aman dari Secrets Manager AWS .

  • ecr— Memungkinkan Pods dan kontainer yang berjalan pada instance bidang kontrol untuk menarik gambar kontainer yang disimpan di Amazon Elastic Container Registry.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSLocal OutpostClusterPolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: A mazonEKSLocal OutpostServiceRolePolicy

Anda tidak dapat melampirkan kebijakan ini ke IAM entitas Anda. Saat Anda membuat klaster menggunakan IAM prinsipal yang memiliki iam:CreateServiceLinkedRole izin, Amazon EKS secara otomatis membuat peran AWSServiceRoleforAmazonEKSLocalOutpostterkait layanan untuk Anda dan melampirkan kebijakan ini padanya. Kebijakan ini memungkinkan peran terkait layanan untuk memanggil AWS layanan atas nama Anda untuk kluster lokal.

AmazonEKSLocalOutpostServiceRolePolicyTermasuk izin berikut:

  • ec2— EKS Memungkinkan Amazon bekerja dengan keamanan, jaringan, dan sumber daya lainnya agar berhasil meluncurkan dan mengelola instans pesawat kontrol di akun Anda.

  • ssm— Memungkinkan koneksi Amazon EC2 Systems Manager ke instans bidang kontrol, yang digunakan oleh Amazon EKS untuk berkomunikasi dan mengelola klaster lokal di akun Anda.

  • iam— EKS Memungkinkan Amazon mengelola profil instans yang terkait dengan instance bidang kontrol.

  • secretsmanager- Memungkinkan Amazon EKS untuk menempatkan data bootstrap untuk instance control plane ke AWS Secrets Manager sehingga dapat direferensikan dengan aman selama bootstrap instance.

  • outposts— EKS Memungkinkan Amazon mendapatkan informasi Outpost dari akun Anda agar berhasil meluncurkan cluster lokal di Outpost.

Untuk melihat versi terbaru dokumen JSON kebijakan, lihat A mazonEKSLocal OutpostServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

Amazon EKS memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon EKS sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS umpan di halaman riwayat EKS Dokumen Amazon.

Perubahan Deskripsi Tanggal

Menambahkan izin keAWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup.

Diperbarui AWSServiceRoleForAmazonEKSNodegroup untuk kompatibilitas dengan wilayah Tiongkok.

November 22, 2024

Menambahkan izin ke AWS kebijakan terkelola: A mazonEKSLocal OutpostClusterPolicy

Menambahkan ec2:DescribeAvailabilityZones izin AmazonEKSLocalOutpostClusterPolicy agar AWS Cloud Controller Manager pada bidang kontrol cluster dapat mengidentifikasi Availability Zone tempat setiap node berada.

November 21, 2024

Menambahkan izin keAWS kebijakan terkelola: AWSServiceRoleForAmazonEKSNodegroup.

AWSServiceRoleForAmazonEKSNodegroupKebijakan yang diperbarui ec2:RebootInstances untuk mengizinkan instance yang dibuat oleh grup node EKS terkelola Amazon. Membatasi ec2:CreateTags izin untuk EC2 sumber daya Amazon.

November 20, 2024

Menambahkan izin keAWS kebijakan terkelola: A mazonEKSService RolePolicy.

EKSkebijakan AWS terkelola yang diperbaruiAmazonEKSServiceRolePolicy. Menambahkan izin untuk kebijakan EKS akses, manajemen penyeimbang beban, dan pembersihan sumber daya klaster otomatis.

November 16, 2024

DiperkenalkanAWS kebijakan terkelola: mazonEKSCompute Kebijakan.

EKSkebijakan AWS terkelola yang diperbaruiAmazonEKSComputePolicy. Izin sumber daya yang diperbarui untuk iam:AddRoleToInstanceProfile tindakan tersebut.

November 7, 2024

DiperkenalkanAWS kebijakan terkelola: mazonEKSCompute Kebijakan.

AWS memperkenalkanAmazonEKSComputePolicy.

November 1, 2024

Menambahkan izin ke AmazonEKSClusterPolicy

Menambahkan ec2:DescribeInstanceTopology izin untuk mengizinkan Amazon EKS melampirkan informasi topologi ke node sebagai label.

November 1, 2024

DiperkenalkanAWS kebijakan terkelola: A mazonEKSBlock StoragePolicy.

AWS memperkenalkanAmazonEKSBlockStoragePolicy.

Oktober 30, 2024

DiperkenalkanAWS kebijakan terkelola: A mazonEKSLoad BalancingPolicy.

AWS memperkenalkanAmazonEKSLoadBalancingPolicy.

Oktober 30, 2024

Menambahkan izin ke A. mazonEKSService RolePolicy

Menambahkan cloudwatch:PutMetricData izin untuk memungkinkan Amazon EKS mempublikasikan metrik ke Amazon. CloudWatch

Oktober 29, 2024

DiperkenalkanAWS kebijakan terkelola: mazonEKSNetworking Kebijakan.

AWS memperkenalkanAmazonEKSNetworkingPolicy.

Oktober 28, 2024

Menambahkan izin ke dan AmazonEKSServicePolicy AmazonEKSServiceRolePolicy

Izin tag yang ditambahkan ec2:GetSecurityGroupsForVpc dan terkait EKS untuk memungkinkan membaca informasi grup keamanan dan memperbarui tag terkait.

Oktober 10, 2024

Diperkenalkan A mazonEKSWorker NodeMinimalPolicy.

AWS memperkenalkanAmazonEKSWorkerNodeMinimalPolicy.

Oktober 3, 2024

Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.

Ditambahkan autoscaling:ResumeProcesses dan autoscaling:SuspendProcesses izin untuk mengizinkan Amazon EKS menangguhkan dan melanjutkan di grup Auto EKS Scaling yang dikelola AZRebalance Amazon.

Agustus 21, 2024

Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.

Menambahkan ec2:DescribeCapacityReservations izin untuk mengizinkan Amazon EKS menjelaskan reservasi kapasitas di akun pengguna. Menambahkan autoscaling:PutScheduledUpdateGroupAction izin untuk mengaktifkan pengaturan penskalaan terjadwal pada grup CAPACITY_BLOCK node.

27 Juni 2024

Amazon EKS _ CNI _Policy - Perbarui ke kebijakan yang ada

Amazon EKS menambahkan ec2:DescribeSubnets izin baru untuk mengizinkan Amazon VPC CNI plugin for Kubernetes untuk melihat jumlah alamat IP gratis di VPC subnet Amazon Anda. VPCCNIAnda dapat menggunakan alamat IP gratis di setiap subnet untuk memilih subnet dengan alamat IP paling gratis untuk digunakan saat membuat elastic network interface.

Maret 4, 2024

A mazonEKSWorker NodePolicy — Perbarui ke kebijakan yang ada

Amazon EKS menambahkan izin baru untuk mengizinkan Identitas EKS Pod. Amazon EKS Pod Identity Agent menggunakan peran node.

26 November 2023

Memperkenalkan mazonEFSCSIDriver Kebijakan.

AWS memperkenalkanAmazonEFSCSIDriverPolicy.

26 Juli 2023

Menambahkan izin ke mazonEKSClusterKebijakan A.

Menambahkan ec2:DescribeAvailabilityZones izin untuk memungkinkan Amazon EKS mendapatkan detail AZ selama penemuan otomatis subnet sambil membuat penyeimbang beban.

7 Februari 2023

Kondisi kebijakan yang diperbarui dalam mazonEBSCSIDriverKebijakan A.

Menghapus kondisi kebijakan yang tidak valid dengan karakter wildcard di bidang kunci. StringLike Juga menambahkan kondisi baru ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" keec2:DeleteVolume, yang memungkinkan EBS CSI driver untuk menghapus volume yang dibuat oleh plugin in-tree.

17 November 2022

Menambahkan izin ke A. mazonEKSLocal OutpostServiceRolePolicy

Ditambahkanec2:DescribeVPCAttribute, ec2:GetConsoleOutput dan ec2:DescribeSecret untuk memungkinkan validasi prasyarat yang lebih baik dan kontrol siklus hidup terkelola. Juga ditambahkan ec2:DescribePlacementGroups dan "arn:aws: ec2:*:*:placement-group/*" ec2:RunInstances untuk mendukung kontrol penempatan pesawat kontrol EC2 instans Amazon di Outposts.

24 Oktober 2022

Perbarui izin Amazon Elastic Container Registry di A mazonEKSLocal OutpostClusterPolicy.

Tindakan yang dipindahkan ecr:GetDownloadUrlForLayer dari semua bagian sumber daya ke bagian cakupan. Menambahkan sumber daya arn:aws: ecr:*:*:repository/eks/ . Sumber daya yang dihapus arn:aws: ecr:. Sumber daya ini dicakup oleh arn:aws: ecr:*:*:repository/eks/* sumber daya tambahan.

20 Oktober 2022

Menambahkan izin ke A. mazonEKSLocal OutpostClusterPolicy

Menambahkan repositori arn:aws: ecr:*:*:repository/kubelet-config-updater Amazon Elastic Container Registry sehingga instance bidang kontrol cluster dapat memperbarui beberapa argumen. kubelet

31 Agustus 2022

Diperkenalkan A mazonEKSLocal OutpostClusterPolicy.

AWS memperkenalkanAmazonEKSLocalOutpostClusterPolicy.

Agustus 24, 2022

Diperkenalkan A mazonEKSLocal OutpostServiceRolePolicy.

AWS memperkenalkanAmazonEKSLocalOutpostServiceRolePolicy.

23 Agustus 2022

Memperkenalkan mazonEBSCSIDriver Kebijakan.

AWS memperkenalkanAmazonEBSCSIDriverPolicy.

4 April 2022

Menambahkan izin ke A. mazonEKSWorker NodePolicy

Ditambahkan ec2:DescribeInstanceTypes untuk mengaktifkan Amazon EKS -optimized AMIs yang dapat secara otomatis menemukan properti tingkat instans.

Maret 21, 2022

Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.

Menambahkan autoscaling:EnableMetricsCollection izin untuk mengizinkan Amazon EKS mengaktifkan pengumpulan metrik.

13 Desember 2021

Menambahkan izin ke mazonEKSClusterKebijakan A.

Menambahkan ec2:DescribeAccountAttributesec2:DescribeAddresses,, dan ec2:DescribeInternetGateways izin untuk memungkinkan Amazon EKS membuat peran terkait layanan untuk Network Load Balancer.

17 Juni 2021

Amazon EKS mulai melacak perubahan.

Amazon EKS mulai melacak perubahan untuk kebijakan yang AWS dikelola.

17 Juni 2021

📝 Edit halaman ini di GitHub