Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk Amazon Elastic Kubernetes Service

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat AWS layanan baru diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan terkelola AWS dalam Panduan Pengguna IAM.

AWS kebijakan terkelola: Amazoneks_CNI_Policy

Anda dapat melampirkan AmazonEKS_CNI_Policy ke entitas IAM Anda. Sebelum Anda membuat grup EC2 node Amazon, kebijakan ini harus dilampirkan ke peran IAM node, atau ke peran IAM yang digunakan secara khusus oleh Amazon VPC CNI plugin for Kubernetes. Ini agar dapat melakukan tindakan atas nama Anda. Kami menyarankan Anda melampirkan kebijakan ke peran yang hanya digunakan oleh plugin. Untuk informasi selengkapnya, silakan lihat Tetapkan ke IPs Pods dengan Amazon VPC CNI dan Konfigurasikan plugin Amazon VPC CNI untuk menggunakan IRSA.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2:*NetworkInterfacedan ec2:*PrivateIpAddresses - Memungkinkan plugin Amazon VPC CNI untuk melakukan tindakan seperti menyediakan Antarmuka Jaringan Elastis dan alamat IP untuk Pods untuk menyediakan jaringan untuk aplikasi yang berjalan di Amazon EKS.
ec2baca tindakan - Memungkinkan plugin Amazon VPC CNI untuk melakukan tindakan seperti mendeskripsikan instance dan subnet untuk melihat jumlah alamat IP gratis di subnet VPC Amazon Anda. VPC CNI dapat menggunakan alamat IP gratis di setiap subnet untuk memilih subnet dengan alamat IP paling gratis untuk digunakan saat membuat elastic network interface.

Untuk melihat versi terbaru dari dokumen kebijakan JSON, lihat Amazoneks_CNI_Policy di Panduan Referensi Kebijakan Terkelola. AWS

AWS kebijakan terkelola: EKSCluster Kebijakan Amazon

Anda dapat melampirkan AmazonEKSClusterPolicy ke entitas IAM Anda. Sebelum membuat klaster, Anda harus memiliki IAM role klaster dengan kebijakan terlampir ini. Kubernetes cluster yang dikelola oleh Amazon EKS melakukan panggilan ke AWS layanan lain atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan layanan.

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

autoscaling— Baca dan perbarui konfigurasi grup Auto Scaling. Izin ini tidak digunakan oleh Amazon EKS tetapi tetap dalam kebijakan untuk kompatibilitas mundur.
ec2— Bekerja dengan volume dan sumber daya jaringan yang terkait dengan EC2 node Amazon. Hal ini diperlukan agar Kubernetes control plane dapat menggabungkan instans ke klaster dan secara dinamis menyediakan serta mengelola volume Amazon EBS yang diminta oleh Kubernetes volume persisten.
elasticloadbalancing— Bekerja dengan Elastic Load Balancers dan tambahkan node ke dalamnya sebagai target. Hal ini diperlukan agar Kubernetes bidang kontrol dapat secara dinamis menyediakan Elastic Load Balancer yang diminta oleh Kubernetes layanan.
iam— Buat peran terkait layanan. Hal ini diperlukan agar Kubernetes bidang kontrol dapat secara dinamis menyediakan Elastic Load Balancer yang diminta oleh Kubernetes layanan.
kms— Baca kunci dari AWS KMS. Hal ini diperlukan untuk Kubernetes pesawat kontrol untuk mendukung enkripsi rahasia Kubernetes rahasia disimpan dietcd.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Kebijakan Amazon EKSCluster di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSFargate PodExecutionRolePolicy

Anda dapat melampirkan AmazonEKSFargatePodExecutionRolePolicy ke entitas IAM Anda. Sebelum Anda dapat membuat profil Fargate, Anda harus membuat Fargate Pod peran eksekusi dan lampirkan kebijakan ini padanya. Untuk informasi selengkapnya, silakan lihat Langkah 2: Buat Fargate Pod Peran eksekusi dan Tentukan yang mana Pods gunakan AWS Fargate saat diluncurkan.

Kebijakan ini memberikan peran izin yang menyediakan akses ke sumber daya AWS layanan lain yang diperlukan untuk menjalankan Amazon EKS Pods di Fargate.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ecr— Memungkinkan Pod yang berjalan di Fargate untuk menarik gambar kontainer yang disimpan di Amazon ECR.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSFargate PodExecutionRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSFor FargateServiceRolePolicy

Anda tidak dapat melampirkan AmazonEKSForFargateServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat AWSServiceRoleforAmazonEKSForFargate.

Kebijakan ini memberikan izin yang diperlukan kepada Amazon EKS untuk menjalankan tugas Fargate. Kebijakan ini hanya digunakan jika Anda memiliki simpul Fargate.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon EKS untuk menyelesaikan tugas berikut.

ec2— Buat dan hapus Antarmuka Jaringan Elastis dan jelaskan Antarmuka dan sumber daya Jaringan Elastis. Ini diperlukan agar layanan Amazon EKS Fargate dapat mengonfigurasi jaringan VPC yang diperlukan untuk Pod Fargate.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSFor FargateServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: EKSCompute Kebijakan Amazon

Anda dapat melampirkan AmazonEKSComputePolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan ini memberikan izin yang diperlukan Amazon EKS untuk membuat dan mengelola EC2 instance untuk kluster EKS, serta izin IAM yang diperlukan untuk dikonfigurasi. EC2

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2Izin:
- ec2:CreateFleetdan ec2:RunInstances - Memungkinkan membuat EC2 instance dan menggunakan EC2 sumber daya tertentu (gambar, grup keamanan, subnet) untuk node cluster EKS.
- ec2:CreateLaunchTemplate- Memungkinkan membuat template EC2 peluncuran untuk node cluster EKS.
- Kebijakan ini juga mencakup ketentuan untuk membatasi penggunaan EC2 izin ini ke sumber daya yang ditandai dengan nama klaster EKS dan tag lain yang relevan.
- ec2:CreateTags- Memungkinkan menambahkan tag ke EC2 sumber daya yang dibuat olehCreateFleet,RunInstances, dan CreateLaunchTemplate tindakan.
iamIzin:
- iam:AddRoleToInstanceProfile- Memungkinkan menambahkan peran IAM ke profil instance komputasi EKS.
- iam:PassRole- Memungkinkan meneruskan peran IAM yang diperlukan ke EC2 layanan.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Kebijakan Amazon EKSCompute di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: EKSNetworking Kebijakan Amazon

Anda dapat melampirkan AmazonEKSNetworkingPolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan ini dirancang untuk memberikan izin yang diperlukan bagi Amazon EKS untuk membuat dan mengelola antarmuka jaringan untuk kluster EKS, memungkinkan bidang kontrol dan node pekerja untuk berkomunikasi dan berfungsi dengan baik.

Detail izin

Kebijakan ini memberikan izin berikut untuk mengizinkan Amazon EKS mengelola antarmuka jaringan untuk klaster:

ec2Izin Antarmuka Jaringan:
- ec2:CreateNetworkInterface- Memungkinkan membuat antarmuka EC2 jaringan.
- Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini ke antarmuka jaringan yang ditandai dengan nama klaster EKS dan nama node CNI Kubernetes.
- ec2:CreateTags- Memungkinkan menambahkan tag ke antarmuka jaringan yang dibuat oleh CreateNetworkInterface tindakan.
ec2Izin Manajemen Antarmuka Jaringan:
- ec2:AttachNetworkInterface, ec2:DetachNetworkInterface - Memungkinkan melampirkan dan melepaskan antarmuka jaringan ke instance. EC2
- ec2:UnassignPrivateIpAddresses,ec2:UnassignIpv6Addresses,ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses - Memungkinkan mengelola penugasan alamat IP dari antarmuka jaringan.
- Izin ini dibatasi untuk antarmuka jaringan yang ditandai dengan nama cluster EKS.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Kebijakan Amazon EKSNetworking di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSBlock StoragePolicy

Anda dapat melampirkan AmazonEKSBlockStoragePolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan ini memberikan izin yang diperlukan bagi Amazon EKS untuk membuat, mengelola, dan memelihara EC2 volume dan snapshot untuk klaster EKS, memungkinkan control plane dan node worker untuk menyediakan dan menggunakan penyimpanan persisten seperti yang dipersyaratkan oleh beban kerja Kubernetes.

Detail izin

Kebijakan IAM ini memberikan izin berikut untuk mengizinkan Amazon EKS mengelola EC2 volume dan snapshot:

ec2Izin Manajemen Volume:
- ec2:AttachVolume,ec2:DetachVolume,ec2:ModifyVolume, ec2:EnableFastSnapshotRestores - Memungkinkan melampirkan, melepaskan, memodifikasi, dan memungkinkan pemulihan snapshot cepat untuk volume. EC2
- Izin ini dibatasi untuk volume yang ditandai dengan nama cluster EKS.
- ec2:CreateTags- Memungkinkan menambahkan tag ke EC2 volume dan snapshot yang dibuat oleh CreateVolume dan CreateSnapshot tindakan.
ec2Izin Pembuatan Volume:
- ec2:CreateVolume- Memungkinkan membuat EC2 volume baru.
- Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini ke volume yang ditandai dengan nama klaster EKS dan tag lain yang relevan.
- ec2:CreateSnapshot- Memungkinkan membuat snapshot EC2 volume baru.
- Kebijakan ini mencakup ketentuan untuk membatasi penggunaan izin ini pada snapshot yang ditandai dengan nama klaster EKS dan tag lain yang relevan.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSBlock StoragePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSLoad BalancingPolicy

Anda dapat melampirkan AmazonEKSLoadBalancingPolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM klaster Anda untuk memperluas sumber daya yang dapat dikelola EKS di akun Anda.

Kebijakan IAM ini memberikan izin yang diperlukan bagi Amazon EKS untuk bekerja dengan berbagai AWS layanan untuk mengelola Elastic Load Balancers () ELBs dan sumber daya terkait.

Detail izin

Izin utama yang diberikan oleh kebijakan ini adalah:

elasticloadbalancing: Memungkinkan membuat, memodifikasi, dan mengelola Elastic Load Balancers dan Target Groups. Ini termasuk izin untuk membuat, memperbarui, dan menghapus penyeimbang beban, grup target, pendengar, dan aturan.
ec2: Memungkinkan pembuatan dan pengelolaan grup keamanan, yang diperlukan untuk control plane Kubernetes untuk menggabungkan instance ke klaster dan mengelola volume Amazon EBS. Juga memungkinkan mendeskripsikan dan mencantumkan EC2 sumber daya seperti instance,, Subnet VPCs, Grup Keamanan, dan sumber daya jaringan lainnya.
iam: Memungkinkan pembuatan peran terkait layanan untuk Elastic Load Balancing, yang diperlukan agar bidang kontrol Kubernetes dapat disediakan secara dinamis. ELBs
kms: Memungkinkan membaca kunci dari AWS KMS, yang diperlukan untuk control plane Kubernetes untuk mendukung enkripsi rahasia Kubernetes yang disimpan dalam etcd.
wafv2dan shield: Memungkinkan mengaitkan dan memisahkan Web dan ACLs membuat/menghapus perlindungan AWS Shield untuk Elastic Load Balancer.
cognito-idp, acm, and elasticloadbalancing: Memberikan izin untuk mendeskripsikan klien kumpulan pengguna, membuat daftar dan mendeskripsikan sertifikat, dan mendeskripsikan grup target, yang diperlukan untuk bidang kontrol Kubernetes untuk mengelola Elastic Load Balancers.

Kebijakan ini juga mencakup beberapa pemeriksaan kondisi untuk memastikan bahwa izin dicakup ke kluster EKS tertentu yang dikelola, menggunakan tag. eks:eks-cluster-name

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSLoad BalancingPolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: EKSService Kebijakan Amazon

Anda dapat melampirkan AmazonEKSServicePolicy ke entitas IAM Anda. Cluster yang dibuat sebelum 16 April 2020, mengharuskan Anda untuk membuat peran IAM dan melampirkan kebijakan ini padanya. Cluster yang dibuat pada atau setelah 16 April 2020, tidak mengharuskan Anda untuk membuat peran dan tidak mengharuskan Anda untuk menetapkan kebijakan ini. Saat Anda membuat klaster menggunakan prinsipal IAM yang memiliki iam:CreateServiceLinkedRole izin, peran terkait layanan AWSServiceRoleforAmazonEKS secara otomatis dibuat untuk Anda. Peran terkait layanan memiliki kebijakan terkelola: Amazon EKSService RolePolicy melekat padanya.

Kebijakan ini memungkinkan Amazon EKS untuk membuat dan mengelola sumber daya yang diperlukan guna mengoperasikan klaster Amazon EKS.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon EKS untuk menyelesaikan tugas berikut.

eks— Perbarui Kubernetes versi cluster Anda setelah Anda memulai pembaruan. Izin ini tidak digunakan oleh Amazon EKS tetapi tetap dalam kebijakan kompatibilitas mundur.
ec2— Bekerja dengan Antarmuka Jaringan Elastis dan sumber daya dan tag jaringan lainnya. Ini diperlukan oleh Amazon EKS untuk mengonfigurasi jaringan yang memfasilitasi komunikasi antara node dan Kubernetes pesawat kontrol. Baca informasi tentang kelompok keamanan. Perbarui tag pada grup keamanan.
route53— Kaitkan VPC dengan zona yang dihosting. Ini diperlukan oleh Amazon EKS untuk mengaktifkan jaringan titik akhir pribadi untuk Anda Kubernetes server API cluster.
logs— Log peristiwa. Ini diperlukan agar Amazon EKS dapat mengirim Kubernetes mengontrol log pesawat ke CloudWatch.
iam— Buat peran terkait layanan. Ini diperlukan agar Amazon EKS dapat membuat peran Izin peran tertaut layanan untuk Amazon EKS terkait layanan atas nama Anda.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Kebijakan Amazon EKSService di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSService RolePolicy

Anda tidak dapat melampirkan AmazonEKSServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan untuk Amazon EKS. Saat Anda membuat klaster menggunakan prinsipal IAM yang memiliki iam:CreateServiceLinkedRole izin, peran terkait layanan AWSServiceRoleforAmazonEKS secara otomatis dibuat untuk Anda dan kebijakan ini dilampirkan padanya.

Kebijakan ini memungkinkan peran terkait layanan untuk memanggil AWS layanan atas nama Anda.

Detail izin

Kebijakan ini mencakup izin berikut yang memungkinkan Amazon EKS untuk menyelesaikan tugas berikut.

ec2— Buat dan jelaskan Antarmuka Jaringan Elastis dan EC2 instans Amazon, grup keamanan klaster, dan VPC yang diperlukan untuk membuat klaster. Untuk informasi selengkapnya, lihat Lihat persyaratan grup keamanan Amazon EKS untuk cluster. Baca informasi tentang kelompok keamanan. Perbarui tag pada grup keamanan.
iam— Buat daftar semua kebijakan terkelola yang melekat pada peran IAM. Ini diperlukan agar Amazon EKS dapat mencantumkan dan memvalidasi semua kebijakan dan izin terkelola yang diperlukan untuk membuat klaster.
Kaitkan VPC dengan zona yang dihosting - Ini diperlukan oleh Amazon EKS untuk mengaktifkan jaringan titik akhir pribadi untuk Anda Kubernetes server API cluster.
Peristiwa log - Ini diperlukan agar Amazon EKS dapat dikirimkan Kubernetes mengontrol log pesawat ke CloudWatch.
Masukkan metrik - Ini diperlukan agar Amazon EKS dapat dikirimkan Kubernetes mengontrol log pesawat ke CloudWatch.
eks- Kelola entri dan kebijakan akses klaster, memungkinkan kontrol halus atas siapa yang dapat mengakses sumber daya EKS dan tindakan apa yang dapat mereka lakukan. Ini termasuk mengaitkan kebijakan akses standar untuk operasi komputasi, jaringan, penyeimbangan beban, dan penyimpanan.
elasticloadbalancing- Buat, kelola, dan hapus penyeimbang beban dan komponennya (pendengar, grup target, sertifikat) yang terkait dengan kluster EKS. Lihat atribut penyeimbang beban dan status kesehatan.
events- Membuat dan mengelola EventBridge aturan untuk pemantauan EC2 dan peristiwa AWS Kesehatan yang terkait dengan kluster EKS, memungkinkan respons otomatis terhadap perubahan infrastruktur dan peringatan kesehatan.
iam- Kelola profil EC2 instance dengan awalan “eks”, termasuk pembuatan, penghapusan, dan asosiasi peran, yang diperlukan untuk manajemen node EKS.
pricing& shield- Akses informasi AWS harga dan status perlindungan Shield, memungkinkan manajemen biaya dan fitur keamanan canggih untuk sumber daya EKS.
Pembersihan sumber daya - Hapus sumber daya yang ditandai EKS dengan aman termasuk volume, snapshot, templat peluncuran, dan antarmuka jaringan selama operasi pembersihan klaster.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSService RolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: EKSVPCResource Pengontrol Amazon

Anda dapat melampirkan kebijakan AmazonEKSVPCResourceController ke identitas IAM Anda. Jika Anda menggunakan grup keamanan untuk Pod, Anda harus melampirkan kebijakan ini ke peran IAM klaster Amazon EKS untuk melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin peran klaster untuk mengelola Antarmuka Jaringan Elastis dan alamat IP untuk simpul.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2— Kelola Antarmuka Jaringan Elastis dan alamat IP untuk mendukung Pod kelompok keamanan dan Windows simpul.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat EKSVPCResourcePengontrol Amazon di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSWorker NodePolicy

Anda dapat melampirkan AmazonEKSWorkerNodePolicy ke entitas IAM Anda. Anda harus melampirkan kebijakan ini ke peran IAM node yang Anda tentukan saat membuat EC2 node Amazon yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda. Jika Anda membuat grup simpul menggunakan eksctl, ia akan membuat IAM role simpul dan melampirkan kebijakan ini ke peran secara otomatis.

Kebijakan ini memberikan izin EC2 node Amazon EKS Amazon Amazon untuk terhubung ke kluster Amazon EKS.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2— Baca volume instance dan informasi jaringan. Hal ini diperlukan agar Kubernetes node dapat menjelaskan informasi tentang EC2 sumber daya Amazon yang diperlukan untuk node untuk bergabung dengan kluster Amazon EKS.
eks— Secara opsional menggambarkan cluster sebagai bagian dari node bootstrapping.
eks-auth:AssumeRoleForPodIdentity— Izinkan pengambilan kredensil untuk beban kerja EKS pada node. Hal ini diperlukan agar EKS Pod Identity berfungsi dengan baik.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSWorker NodePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSWorker NodeMinimalPolicy

Anda dapat melampirkan Amazon EKSWorker NodeMinimalPolicy ke entitas IAM Anda. Anda dapat melampirkan kebijakan ini ke peran IAM node yang Anda tentukan saat membuat EC2 node Amazon yang memungkinkan Amazon EKS melakukan tindakan atas nama Anda.

Kebijakan ini memberikan izin EC2 node Amazon EKS Amazon Amazon untuk terhubung ke kluster Amazon EKS. Kebijakan ini memiliki izin yang lebih sedikit dibandingkan dengan Amazon EKSWorkerNodePolicy.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

eks-auth:AssumeRoleForPodIdentity- Izinkan pengambilan kredensil untuk beban kerja EKS pada node. Hal ini diperlukan agar EKS Pod Identity berfungsi dengan baik.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSWorker NodePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: AWSService RoleForAmazon EKSNodegroup

Anda tidak dapat melampirkan AWSServiceRoleForAmazonEKSNodegroup ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran tertaut layanan yang mengizinkan Amazon EKS untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan untuk Amazon EKS.

Kebijakan ini memberikan izin AWSServiceRoleForAmazonEKSNodegroup peran yang memungkinkannya membuat dan mengelola grup EC2 node Amazon di akun Anda.

Detail izin

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS untuk menyelesaikan tugas-tugas berikut:

ec2— Bekerja dengan grup keamanan, tag, reservasi kapasitas, dan templat peluncuran. Ini diperlukan untuk grup node terkelola Amazon EKS untuk mengaktifkan konfigurasi akses jarak jauh dan untuk menjelaskan reservasi kapasitas yang dapat digunakan dalam grup node terkelola. Selain itu, grup simpul yang dikelola Amazon EKS membuat templat peluncuran atas nama Anda. Ini untuk mengonfigurasi grup EC2 Auto Scaling Amazon yang mendukung setiap grup node terkelola.
iam— Buat peran terkait layanan dan berikan peran. Ini diperlukan oleh grup simpul yang dikelola Amazon EKS dalam mengelola profil instans untuk peran yang diteruskan ketika membuat grup simpul terkelola. Profil instance ini digunakan oleh EC2 instans Amazon yang diluncurkan sebagai bagian dari grup node terkelola. Amazon EKS perlu membuat peran terkait layanan untuk layanan lain seperti grup Amazon Auto EC2 Scaling. Izin ini digunakan dalam pembuatan grup node terkelola.
autoscaling— Bekerja dengan grup Auto Scaling keamanan. Ini diperlukan oleh grup node terkelola Amazon EKS untuk mengelola grup EC2 Auto Scaling Amazon yang mendukung setiap grup node terkelola. Ini juga digunakan untuk mendukung fungsionalitas seperti mengusir Pods ketika node dihentikan atau didaur ulang selama pembaruan grup node.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat AWSServiceRoleForAmazonEKSNodegroupdi Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: EBSCSIDriver Kebijakan Amazon

AmazonEBSCSIDriverPolicyKebijakan ini memungkinkan driver Amazon EBS Container Storage Interface (CSI) untuk membuat, memodifikasi, melampirkan, melepaskan, dan menghapus volume atas nama Anda. Ini termasuk memodifikasi tag pada volume yang ada dan mengaktifkan Pemulihan Snapshot Cepat (FSR) pada volume EBS. Ini juga memberikan izin driver EBS CSI untuk membuat, memulihkan, dan menghapus snapshot, dan untuk membuat daftar instance, volume, dan snapshot Anda.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EBSCSIDriver ServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: EFSCSIDriver Kebijakan Amazon

AmazonEFSCSIDriverPolicyKebijakan ini memungkinkan Amazon EFS Container Storage Interface (CSI) untuk membuat dan menghapus titik akses atas nama Anda. Ini juga memberikan izin driver Amazon EFS CSI untuk mencantumkan sistem file titik akses Anda, target pemasangan, dan zona ketersediaan Amazon EC2 .

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EFSCSIDriver ServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSLocal OutpostClusterPolicy

Anda dapat melampirkan kebijakan ini ke entitas IAM. Sebelum membuat klaster lokal, Anda harus melampirkan kebijakan ini ke peran klaster Anda. Kubernetes cluster yang dikelola oleh Amazon EKS melakukan panggilan ke AWS layanan lain atas nama Anda. Mereka melakukan ini untuk mengelola sumber daya yang Anda gunakan dengan layanan.

AmazonEKSLocalOutpostClusterPolicyTermasuk izin berikut:

ec2tindakan baca - Memungkinkan instance bidang kontrol untuk menggambarkan Availability Zone, tabel rute, instance, dan properti antarmuka jaringan. Izin yang diperlukan untuk EC2 instans Amazon agar berhasil bergabung dengan cluster sebagai instance bidang kontrol.
ssm— Memungkinkan koneksi Amazon EC2 Systems Manager ke instance control plane, yang digunakan oleh Amazon EKS untuk berkomunikasi dan mengelola cluster lokal di akun Anda.
logs— Memungkinkan instance untuk mendorong log ke Amazon CloudWatch.
secretsmanager— Memungkinkan instance untuk mendapatkan dan menghapus data bootstrap untuk instance control plane dengan aman dari Secrets Manager AWS .
ecr— Memungkinkan Pods dan kontainer yang berjalan pada instance bidang kontrol untuk menarik gambar kontainer yang disimpan di Amazon Elastic Container Registry.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSLocal OutpostClusterPolicy di Panduan Referensi Kebijakan AWS Terkelola.

AWS kebijakan terkelola: Amazon EKSLocal OutpostServiceRolePolicy

Anda tidak dapat melampirkan kebijakan ini ke entitas IAM Anda. Saat Anda membuat klaster menggunakan prinsipal IAM yang memiliki iam:CreateServiceLinkedRole izin, Amazon EKS secara otomatis membuat peran terkait layanan AWSServiceRoleforAmazonEKSLocalOutpost untuk Anda dan melampirkan kebijakan ini padanya. Kebijakan ini memungkinkan peran terkait layanan untuk memanggil AWS layanan atas nama Anda untuk kluster lokal.

AmazonEKSLocalOutpostServiceRolePolicyTermasuk izin berikut:

ec2— Memungkinkan Amazon EKS bekerja dengan keamanan, jaringan, dan sumber daya lainnya agar berhasil meluncurkan dan mengelola instans pesawat kontrol di akun Anda.
ssm— Memungkinkan koneksi Amazon EC2 Systems Manager ke instans bidang kontrol, yang digunakan oleh Amazon EKS untuk berkomunikasi dan mengelola klaster lokal di akun Anda.
iam— Memungkinkan Amazon EKS mengelola profil instans yang terkait dengan instans bidang kontrol.
secretsmanager- Memungkinkan Amazon EKS untuk menempatkan data bootstrap untuk instance control plane ke AWS Secrets Manager sehingga dapat direferensikan dengan aman selama bootstrap instance.
outposts— Memungkinkan Amazon EKS mendapatkan informasi Outpost dari akun Anda agar berhasil meluncurkan cluster lokal di Outpost.

Untuk melihat versi terbaru dokumen kebijakan JSON, lihat Amazon EKSLocal OutpostServiceRolePolicy di Panduan Referensi Kebijakan AWS Terkelola.

Amazon EKS memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk Amazon EKS sejak layanan ini mulai melacak perubahan ini. Untuk mendapatkan pemberitahuan otomatis tentang perubahan pada halaman ini, Anda bisa berlangganan umpan RSS di halaman riwayat Dokumen Amazon EKS.

Perubahan	Deskripsi	Tanggal
Menambahkan izin ke EBSCSIDriverKebijakan Amazon.	Menambahkan pernyataan baru yang mengotorisasi Driver EBS CSI untuk memulihkan semua snapshot. Ini sebelumnya diizinkan oleh kebijakan yang ada tetapi pernyataan eksplisit baru diperlukan karena perubahan dalam penanganan IAM untuk. `CreateVolume` Ditambahkan kemampuan untuk EBS CSI Driver untuk memodifikasi tag pada volume yang ada. Driver EBS CSI dapat memodifikasi tag volume yang ada melalui parameter di Kubernetes ``es. VolumeAttributesClass Menambahkan kemampuan untuk EBS CSI Driver untuk mengaktifkan Fast Snapshot Restore (FSR) pada volume EBS. Driver EBS CSI dapat mengaktifkan FSR pada volume baru melalui parameter di Kubernetes ``es. StorageClass	Januari 13, 2025
Menambahkan izin keAWS kebijakan terkelola: Amazon EKSLoad BalancingPolicy.	Diperbarui `AmazonEKSLoadBalancingPolicy` untuk memungkinkan daftar dan mendeskripsikan sumber daya jaringan dan alamat IP.	Desember 26, 2024
Menambahkan izin keAWS kebijakan terkelola: AWSService RoleForAmazon EKSNodegroup.	Diperbarui `AWSServiceRoleForAmazonEKSNodegroup` untuk kompatibilitas dengan wilayah Tiongkok.	November 22, 2024
Menambahkan izin ke AWS kebijakan terkelola: Amazon EKSLocal OutpostClusterPolicy	Menambahkan `ec2:DescribeAvailabilityZones` izin `AmazonEKSLocalOutpostClusterPolicy` agar AWS Cloud Controller Manager pada bidang kontrol cluster dapat mengidentifikasi Availability Zone tempat setiap node berada.	November 21, 2024
Menambahkan izin keAWS kebijakan terkelola: AWSService RoleForAmazon EKSNodegroup.	`AWSServiceRoleForAmazonEKSNodegroup`Kebijakan yang diperbarui `ec2:RebootInstances` untuk mengizinkan instance yang dibuat oleh grup simpul terkelola Amazon EKS. Membatasi `ec2:CreateTags` izin untuk EC2 sumber daya Amazon.	November 20, 2024
Menambahkan izin keAWS kebijakan terkelola: Amazon EKSService RolePolicy.	EKS memperbarui kebijakan AWS terkelola`AmazonEKSServiceRolePolicy`. Menambahkan izin untuk kebijakan akses EKS, manajemen penyeimbang beban, dan pembersihan sumber daya klaster otomatis.	November 16, 2024
DiperkenalkanAWS kebijakan terkelola: EKSCompute Kebijakan Amazon.	EKS memperbarui kebijakan AWS terkelola`AmazonEKSComputePolicy`. Izin sumber daya yang diperbarui untuk `iam:AddRoleToInstanceProfile` tindakan tersebut.	November 7, 2024
DiperkenalkanAWS kebijakan terkelola: EKSCompute Kebijakan Amazon.	AWS memperkenalkan`AmazonEKSComputePolicy`.	November 1, 2024
Menambahkan izin ke `AmazonEKSClusterPolicy`	Menambahkan `ec2:DescribeInstanceTopology` izin untuk mengizinkan Amazon EKS melampirkan informasi topologi ke node sebagai label.	November 1, 2024
DiperkenalkanAWS kebijakan terkelola: Amazon EKSBlock StoragePolicy.	AWS memperkenalkan`AmazonEKSBlockStoragePolicy`.	Oktober 30, 2024
DiperkenalkanAWS kebijakan terkelola: Amazon EKSLoad BalancingPolicy.	AWS memperkenalkan`AmazonEKSLoadBalancingPolicy`.	Oktober 30, 2024
Menambahkan izin ke Amazon EKSService RolePolicy.	Menambahkan `cloudwatch:PutMetricData` izin untuk mengizinkan Amazon EKS mempublikasikan metrik ke Amazon. CloudWatch	Oktober 29, 2024
DiperkenalkanAWS kebijakan terkelola: EKSNetworking Kebijakan Amazon.	AWS memperkenalkan`AmazonEKSNetworkingPolicy`.	Oktober 28, 2024
Menambahkan izin ke dan `AmazonEKSServicePolicy` `AmazonEKSServiceRolePolicy`	Izin tag yang ditambahkan `ec2:GetSecurityGroupsForVpc` dan terkait untuk memungkinkan EKS membaca informasi grup keamanan dan memperbarui tag terkait.	Oktober 10, 2024
Memperkenalkan Amazon EKSWorker NodeMinimalPolicy.	AWS memperkenalkan`AmazonEKSWorkerNodeMinimalPolicy`.	Oktober 3, 2024
Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.	Ditambahkan `autoscaling:ResumeProcesses` dan `autoscaling:SuspendProcesses` izin untuk mengizinkan Amazon EKS menangguhkan dan melanjutkan di grup Auto Scaling yang dikelola `AZRebalance` Amazon EKS.	Agustus 21, 2024
Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.	Menambahkan `ec2:DescribeCapacityReservations` izin untuk mengizinkan Amazon EKS menjelaskan reservasi kapasitas di akun pengguna. Menambahkan `autoscaling:PutScheduledUpdateGroupAction` izin untuk mengaktifkan pengaturan penskalaan terjadwal pada grup `CAPACITY_BLOCK` node.	27 Juni 2024
Amazoneks_CNI_Policy - Update ke kebijakan yang ada	Amazon EKS menambahkan `ec2:DescribeSubnets` izin baru untuk mengizinkan Amazon VPC CNI plugin for Kubernetes untuk melihat jumlah alamat IP gratis di subnet VPC Amazon Anda. VPC CNI dapat menggunakan alamat IP gratis di setiap subnet untuk memilih subnet dengan alamat IP paling gratis untuk digunakan saat membuat elastic network interface.	Maret 4, 2024
Amazon EKSWorker NodePolicy - Perbarui ke kebijakan yang ada	Amazon EKS menambahkan izin baru untuk mengizinkan Identitas Pod EKS. Amazon EKS Pod Identity Agent menggunakan peran node.	26 November 2023
Memperkenalkan EFSCSIDriverKebijakan Amazon.	AWS memperkenalkan`AmazonEFSCSIDriverPolicy`.	26 Juli 2023
Menambahkan izin ke EKSClusterKebijakan Amazon.	Menambahkan `ec2:DescribeAvailabilityZones` izin untuk mengizinkan Amazon EKS mendapatkan detail AZ selama penemuan otomatis subnet sambil membuat penyeimbang beban.	7 Februari 2023
Ketentuan kebijakan yang diperbarui di EBSCSIDriverKebijakan Amazon.	Menghapus kondisi kebijakan yang tidak valid dengan karakter wildcard di bidang kunci. `StringLike` Juga menambahkan kondisi `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` baru`ec2:DeleteVolume`, yang memungkinkan driver EBS CSI untuk menghapus volume yang dibuat oleh plugin in-tree.	17 November 2022
Menambahkan izin ke Amazon EKSLocal OutpostServiceRolePolicy.	Ditambahkan`ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` dan `ec2:DescribeSecret` untuk memungkinkan validasi prasyarat yang lebih baik dan kontrol siklus hidup terkelola. Juga ditambahkan `ec2:DescribePlacementGroups` dan `"arn:aws: ec2:::placement-group/*"` `ec2:RunInstances` untuk mendukung kontrol penempatan pesawat kontrol EC2 instans Amazon di Outposts.	24 Oktober 2022
Perbarui izin Amazon Elastic Container Registry di Amazon EKSLocal OutpostClusterPolicy.	Tindakan yang dipindahkan `ecr:GetDownloadUrlForLayer` dari semua bagian sumber daya ke bagian cakupan. Menambahkan sumber daya`arn:aws: ecr:::repository/eks/`. Sumber daya yang dihapus `arn:aws: ecr:`. Sumber daya ini dicakup oleh `arn:aws: ecr:::repository/eks/*` sumber daya tambahan.	20 Oktober 2022
Menambahkan izin ke Amazon EKSLocal OutpostClusterPolicy.	Menambahkan repositori `arn:aws: ecr:::repository/kubelet-config-updater` Amazon Elastic Container Registry sehingga instance bidang kontrol cluster dapat memperbarui beberapa argumen. `kubelet`	31 Agustus 2022
Memperkenalkan Amazon EKSLocal OutpostClusterPolicy.	AWS memperkenalkan`AmazonEKSLocalOutpostClusterPolicy`.	Agustus 24, 2022
Memperkenalkan Amazon EKSLocal OutpostServiceRolePolicy.	AWS memperkenalkan`AmazonEKSLocalOutpostServiceRolePolicy`.	23 Agustus 2022
Memperkenalkan EBSCSIDriverKebijakan Amazon.	AWS memperkenalkan`AmazonEBSCSIDriverPolicy`.	4 April 2022
Menambahkan izin ke Amazon EKSWorker NodePolicy.	Ditambahkan `ec2:DescribeInstanceTypes` untuk mengaktifkan Amazon EKS yang dioptimalkan AMIs yang dapat menemukan properti tingkat instans secara otomatis.	Maret 21, 2022
Menambahkan izin ke AWSServiceRoleForAmazonEKSNodegroup.	Menambahkan `autoscaling:EnableMetricsCollection` izin untuk mengizinkan Amazon EKS mengaktifkan pengumpulan metrik.	13 Desember 2021
Menambahkan izin ke EKSClusterKebijakan Amazon.	Izin `ec2:DescribeAccountAttributes`, `ec2:DescribeAddresses`, dan `ec2:DescribeInternetGateways` ditambahkan agar Amazon EKS diizinkan untuk membuat peran tertaut layanan bagi Penyeimbang Beban Jaringan.	17 Juni 2021
Amazon EKS mulai melacak perubahan.	Amazon EKS mulai melacak perubahan untuk kebijakan yang AWS dikelola.	17 Juni 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Peran konektor IAM

Pemecahan Masalah