AWS politiche gestite per Amazon Elastic Kubernetes Service

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando viene lanciato un nuovo AWS servizio o quando diventano disponibili nuove API operazioni per i servizi esistenti.

Per ulteriori informazioni, consulta le politiche AWS gestite nella Guida IAM per l'utente.

AWS politica gestita: Amazon EKS _ CNI _Policy

Puoi allegarli AmazonEKS_CNI_Policy alle tue IAM entità. Prima di creare un gruppo di EC2 nodi Amazon, questa policy deve essere associata al IAMruolo del nodo o a un IAM ruolo utilizzato specificamente dal Amazon VPC CNI plugin for Kubernetes. In questo modo può eseguire azioni per tuo conto. Ti consigliamo di associare la policy a un ruolo utilizzato solo dal plugin. Per ulteriori informazioni, consulta Amazon VPC CNI e Configura il VPC CNI plug-in Amazon da utilizzare IRSA.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

ec2:*NetworkInterfacee ec2:*PrivateIpAddresses — Consente al VPC CNI plug-in Amazon di eseguire azioni come il provisioning di interfacce di rete elastiche e indirizzi IP per Pods per fornire reti per applicazioni eseguite in AmazonEKS.
ec2azioni di lettura: consente al VPC CNI plug-in Amazon di eseguire azioni come descrivere istanze e sottoreti per visualizzare la quantità di indirizzi IP gratuiti nelle sottoreti Amazon. VPC VPCCNIPossono utilizzare gli indirizzi IP gratuiti in ogni sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un'interfaccia di rete elastica.

Per visualizzare la versione più recente del documento sulla JSON policy, consulta Amazon EKS _ CNI _Policy nella AWS Managed Policy Reference Guide.

AWS politica gestita: Una mazonEKSCluster politica

Puoi collegarti AmazonEKSClusterPolicy alle tue IAM entità. Prima di creare un cluster, è necessario disporre di un IAMruolo di cluster con questa politica allegata. Kubernetes i cluster gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

autoscaling— Leggi e aggiorna la configurazione di un gruppo Auto Scaling. Queste autorizzazioni non vengono utilizzate da Amazon EKS ma rimangono nella politica di compatibilità con le versioni precedenti.
ec2— Lavora con volumi e risorse di rete associati ai EC2 nodi Amazon. Ciò è necessario affinché Kubernetes control plane può unire le istanze a un cluster e fornire e gestire dinamicamente EBS i volumi Amazon richiesti da Kubernetes volumi persistenti.
elasticloadbalancing— Lavora con Elastic Load Balancer e aggiungi nodi come destinazioni. Ciò è necessario affinché Kubernetes control plane può fornire dinamicamente gli Elastic Load Balancer richiesti da Kubernetes servizi.
iam— Creare un ruolo collegato al servizio. Ciò è necessario affinché Kubernetes control plane può fornire dinamicamente gli Elastic Load Balancer richiesti da Kubernetes servizi.
kms— Leggi una chiave da AWS KMS. Questo è necessario per Kubernetes piano di controllo per supportare la crittografia segreta di Kubernetes segreti archiviati inetcd.

Per visualizzare la versione più recente del documento relativo alla JSON policy, vedere A mazonEKSCluster Policy in the AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSFargate PodExecutionRolePolicy

Puoi collegarti AmazonEKSFargatePodExecutionRolePolicy alle tue IAM entità. Prima di poter creare un profilo Fargate, è necessario creare un profilo Fargate Pod ruolo di esecuzione e allegare ad esso questa politica. Per ulteriori informazioni, consulta Fase 2: Creare un Fargate Pod ruolo di esecuzione e Definisci quale Pods usa AWS Fargate all'avvio.

Questa politica concede al ruolo le autorizzazioni che forniscono l'accesso ad altre risorse AWS di servizio necessarie per eseguire Amazon. EKS Pods su Fargate.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

ecr— Consente ai Pod in esecuzione su Fargate di estrarre le immagini dei container archiviate in Amazon. ECR

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEKSFargate PodExecutionRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSFor FargateServiceRolePolicy

Non puoi collegarti AmazonEKSForFargateServiceRolePolicy alle tue IAM entità. Questa politica è associata a un ruolo collegato al servizio che consente EKS ad Amazon di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta AWSServiceRoleforAmazonEKSForFargate.

Questa politica concede ad Amazon le autorizzazioni necessarie per eseguire le attività EKS di Fargate. La policy viene utilizzato solo se si dispone di nodi Fargate.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività.

ec2— Crea ed elimina interfacce di rete elastiche e descrivi le interfacce e le risorse di rete elastiche. Ciò è necessario per consentire al servizio Amazon EKS Fargate di configurare la VPC rete richiesta per i Fargate Pod.

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEKSFor FargateServiceRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: Una mazonEKSCompute politica

Puoi collegarti AmazonEKSComputePolicy alle tue IAM entità. Puoi allegare questa policy al tuo IAMruolo di cluster per espandere le risorse che EKS puoi gestire nel tuo account.

Questa politica concede le autorizzazioni necessarie EKS ad Amazon per creare e gestire EC2 istanze per il EKS cluster, nonché le IAM autorizzazioni necessarie per la configurazione. EC2

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

ec2Autorizzazioni:
- ec2:CreateFleete ec2:RunInstances - Consente di creare EC2 istanze e utilizzare EC2 risorse specifiche (immagini, gruppi di sicurezza, sottoreti) per i nodi del cluster. EKS
- ec2:CreateLaunchTemplate- Consente di creare modelli di EC2 avvio per EKS i nodi del cluster.
- La politica include anche condizioni per limitare l'uso di queste EC2 autorizzazioni alle risorse contrassegnate con il nome del EKS cluster e altri tag pertinenti.
- ec2:CreateTags- Consente di aggiungere tag alle EC2 risorse create dalle CreateLaunchTemplate azioni CreateFleetRunInstances, e.
iamAutorizzazioni:
- iam:AddRoleToInstanceProfile- Consente di aggiungere un IAM ruolo al profilo dell'istanza di EKS calcolo.
- iam:PassRole- Consente di passare i IAM ruoli necessari al EC2 servizio.

Per visualizzare la versione più recente del documento sulla JSON policy, vedere A mazonEKSCompute Policy nella AWS Managed Policy Reference Guide.

AWS politica gestita: Una mazonEKSNetworking politica

Puoi collegarti AmazonEKSNetworkingPolicy alle tue IAM entità. Puoi allegare questa policy al tuo IAMruolo di cluster per espandere le risorse che EKS puoi gestire nel tuo account.

Questa politica è progettata per concedere le autorizzazioni necessarie EKS ad Amazon per creare e gestire interfacce di rete per il EKS cluster, consentendo al piano di controllo e ai nodi di lavoro di comunicare e funzionare correttamente.

Dettagli dell'autorizzazione

Questa politica concede le seguenti autorizzazioni per consentire ad Amazon di EKS gestire le interfacce di rete per il cluster:

ec2Autorizzazioni dell'interfaccia di rete:
- ec2:CreateNetworkInterface- Consente la creazione di interfacce EC2 di rete.
- La policy include condizioni per limitare l'uso di questa autorizzazione alle interfacce di rete contrassegnate con il nome del EKS cluster e il nome del nodo CNI Kubernetes.
- ec2:CreateTags- Consente di aggiungere tag alle interfacce di rete create dall'azione. CreateNetworkInterface
ec2Autorizzazioni di gestione delle interfacce di rete:
- ec2:AttachNetworkInterface, ec2:DetachNetworkInterface - Consente di collegare e scollegare le interfacce di rete alle istanze. EC2
- ec2:UnassignPrivateIpAddresses,, ec2:UnassignIpv6Addressesec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses - Consente di gestire l'assegnazione degli indirizzi IP delle interfacce di rete.
- Queste autorizzazioni sono limitate alle interfacce di rete contrassegnate con il nome del cluster. EKS

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEKSNetworking Policy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSBlock StoragePolicy

Puoi collegarti AmazonEKSBlockStoragePolicy alle tue IAM entità. Puoi allegare questa policy al tuo IAMruolo di cluster per espandere le risorse che EKS puoi gestire nel tuo account.

Questa politica concede EKS ad Amazon le autorizzazioni necessarie per creare, gestire e mantenere EC2 volumi e istantanee per il EKS cluster, consentendo al piano di controllo e ai nodi di lavoro di fornire e utilizzare lo storage persistente come richiesto dai carichi di lavoro Kubernetes.

Dettagli dell'autorizzazione

Questa IAM politica concede le seguenti autorizzazioni per consentire ad Amazon di EKS gestire EC2 volumi e istantanee:

ec2Autorizzazioni per la gestione dei volumi:
- ec2:AttachVolume,, ec2:DetachVolumeec2:ModifyVolume, ec2:EnableFastSnapshotRestores - Consente di allegare, scollegare, modificare e abilitare ripristini rapidi delle istantanee per i volumi. EC2
- Queste autorizzazioni sono limitate ai volumi contrassegnati con il nome del cluster. EKS
- ec2:CreateTags- Consente di aggiungere tag ai EC2 volumi e alle istantanee create dalle azioni CreateVolume andCreateSnapshot.
ec2Autorizzazioni per la creazione di volumi:
- ec2:CreateVolume- Consente la creazione di nuovi EC2 volumi.
- La politica include condizioni per limitare l'uso di questa autorizzazione ai volumi contrassegnati con il nome del EKS cluster e altri tag pertinenti.
- ec2:CreateSnapshot- Consente di creare nuove istantanee di EC2 volume.
- La politica include condizioni per limitare l'uso di questa autorizzazione alle istantanee contrassegnate con il nome del EKS cluster e altri tag pertinenti.

Per visualizzare la versione più recente del documento sulla JSON policy, vedere A mazonEKSBlock StoragePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSLoad BalancingPolicy

Puoi collegarti AmazonEKSLoadBalancingPolicy alle tue IAM entità. Puoi allegare questa policy al tuo IAMruolo di cluster per espandere le risorse che EKS puoi gestire nel tuo account.

Questa IAM politica concede le autorizzazioni necessarie EKS ad Amazon per lavorare con vari AWS servizi per gestire Elastic Load Balancers (ELBs) e risorse correlate.

Dettagli dell'autorizzazione

Le autorizzazioni principali concesse da questa politica sono:

elasticloadbalancing: Consente di creare, modificare e gestire Elastic Load Balancer e Target Groups. Ciò include le autorizzazioni per creare, aggiornare ed eliminare sistemi di bilanciamento del carico, gruppi target, ascoltatori e regole.
ec2: consente di creare e gestire gruppi di sicurezza, necessari al piano di controllo di Kubernetes per unire le istanze a un cluster e gestire i volumi Amazon. EBS
iam: consente di creare un ruolo collegato al servizio per Elastic Load Balancing, necessario per il provisioning dinamico del piano di controllo di Kubernetes. ELBs
kms: Consente la lettura di una chiave da AWS KMS, necessaria affinché il piano di controllo di Kubernetes supporti la crittografia dei segreti Kubernetes archiviati in etcd.
wafv2e shield: Consente di associare e dissociare Web e di ACLs creare/eliminare le protezioni AWS Shield per Elastic Load Balancers.
cognito-idpacm, e elasticloadbalancing: Concede le autorizzazioni per descrivere i client del pool di utenti, elencare e descrivere i certificati e descrivere i gruppi target, necessari al piano di controllo di Kubernetes per gestire gli Elastic Load Balancers.

La policy include anche diversi controlli delle condizioni per garantire che le autorizzazioni rientrino nell'ambito dello specifico cluster gestito, utilizzando il tag. EKS eks:eks-cluster-name

Per visualizzare la versione più recente del documento sulla JSON policy, vedere A mazonEKSLoad BalancingPolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: Una mazonEKSService politica

Puoi collegarti AmazonEKSServicePolicy alle tue IAM entità. I cluster creati prima del 16 aprile 2020 richiedevano la creazione di un IAM ruolo e l'associazione di questa policy ad esso. I cluster creati a partire dal 16 aprile 2020 non richiedono la creazione di un ruolo e non richiedono l'assegnazione di questa politica. Quando crei un cluster utilizzando un IAM principale che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, il ruolo AWSServiceRoleforAmazonEKScollegato al servizio viene creato automaticamente per te. Al ruolo collegato al servizio è associata la policy gestita: A. mazonEKSService RolePolicy

Questa politica consente EKS ad Amazon di creare e gestire le risorse necessarie per gestire EKS i cluster Amazon.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività.

eks— Aggiorna il Kubernetes versione del cluster dopo l'avvio di un aggiornamento. Questa autorizzazione non viene utilizzata da Amazon EKS ma rimane nella politica di compatibilità con le versioni precedenti.
ec2— Lavora con interfacce di rete elastiche e altre risorse e tag di rete. Ciò è richiesto da Amazon EKS per configurare una rete che faciliti la comunicazione tra i nodi e il Kubernetes piano di controllo. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza.
route53— Associa a VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete endpoint privata per i tuoi Kubernetes APIserver cluster.
logs— Registra gli eventi. Questo è necessario per consentire ad Amazon di EKS effettuare spedizioni Kubernetes log del piano di controllo verso CloudWatch.
iam— Creare un ruolo collegato al servizio. Ciò è necessario affinché Amazon EKS possa creare il ruolo Autorizzazioni di ruolo collegate ai servizi per Amazon EKS collegato al servizio per tuo conto.

Per visualizzare la versione più recente del documento relativo alla JSON policy, consulta A mazonEKSService Policy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSService RolePolicy

Non puoi collegarti AmazonEKSServiceRolePolicy alle tue IAM entità. Questa politica è associata a un ruolo collegato al servizio che consente EKS ad Amazon di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Autorizzazioni di ruolo collegate ai servizi per Amazon EKS. Quando crei un cluster utilizzando un IAM principale che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, il ruolo AWSServiceRoleforAmazonEKScollegato al servizio viene creato automaticamente per te e questa politica gli viene allegata.

Questa politica consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività.

ec2— Crea e descrivi le interfacce di rete elastiche e EC2 le istanze Amazon, il gruppo di sicurezza del cluster, necessarie per creare un cluster. VPC Per ulteriori informazioni, consulta Visualizza i requisiti EKS dei gruppi di sicurezza Amazon per i cluster. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza.
iam— Elenca tutte le politiche gestite associate a un IAM ruolo. Ciò è necessario affinché Amazon EKS possa elencare e convalidare tutte le politiche gestite e le autorizzazioni necessarie per creare un cluster.
Associa VPC a una zona ospitata: questa operazione è richiesta da Amazon EKS per abilitare la rete endpoint privata per la tua Kubernetes APIserver cluster.
Evento di registro: è necessario per consentire ad Amazon di EKS effettuare spedizioni Kubernetes log del piano di controllo a CloudWatch.
Inserisci metrica: è necessaria per consentire ad Amazon di EKS effettuare spedizioni Kubernetes log del piano di controllo su. CloudWatch
eks- Gestisci le voci e le politiche di accesso ai cluster, permettendo un controllo granulare su chi può accedere alle EKS risorse e quali azioni possono eseguire. Ciò include l'associazione di policy di accesso standard per operazioni di elaborazione, rete, bilanciamento del carico e storage.
elasticloadbalancing- Crea, gestisci ed elimina i sistemi di bilanciamento del carico e i relativi componenti (listener, gruppi target, certificati) associati ai cluster. EKS Visualizza gli attributi e lo stato di integrità del load balancer.
events- Crea e gestisci EventBridge regole per il monitoraggio EC2 e gli eventi AWS Health relativi ai EKS cluster, abilitando risposte automatiche ai cambiamenti dell'infrastruttura e agli avvisi sullo stato.
iam- Gestisci i profili di EC2 istanza con il prefisso «eks», inclusa la creazione, l'eliminazione e l'associazione dei ruoli, necessarie per EKS la gestione dei nodi.
pricing& shield- Accedi alle informazioni AWS sui prezzi e allo stato di protezione Shield, abilitando la gestione dei costi e funzionalità di sicurezza avanzate per EKS le risorse.
Pulizia delle risorse: elimina in modo sicuro le risorse EKS con tag, tra cui volumi, istantanee, modelli di avvio e interfacce di rete durante le operazioni di pulizia dei cluster.

Per visualizzare la versione più recente del documento JSON sulla policy, vedere A mazonEKSService RolePolicy nella Managed Policy Reference Guide. AWS

AWS politica gestita: A mazonEKSVPCResource Controller

Puoi allegare la AmazonEKSVPCResourceController politica alle tue IAM identità. Se utilizzi gruppi di sicurezza per Pods, devi collegare questa policy al tuo IAMruolo di EKS cluster Amazon per eseguire azioni per tuo conto.

Questa policy concede le autorizzazioni del ruolo cluster per gestire le interfacce di rete elastiche e gli indirizzi IP per i nodi.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

ec2— Gestisci le interfacce di rete elastiche e gli indirizzi IP per il supporto Pod gruppi di sicurezza e Windows nodi.

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEKSVPCResource Controller nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSWorker NodePolicy

Puoi allegarli AmazonEKSWorkerNodePolicy alle tue IAM entità. Devi collegare questa policy a un IAMruolo del nodo che specifichi quando EC2 crei nodi Amazon che consentono EKS ad Amazon di eseguire azioni per tuo conto. Se crei un gruppo di nodi utilizzandoeksctl, viene creato il IAM ruolo del nodo e allega automaticamente questa policy al ruolo.

Questa politica concede ai EC2 nodi Amazon EKS Amazon le autorizzazioni per connettersi ai cluster AmazonEKS.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

ec2— Leggi il volume dell'istanza e le informazioni sulla rete. Ciò è necessario affinché Kubernetes i nodi possono descrivere le informazioni sulle EC2 risorse Amazon necessarie affinché il nodo entri a far parte del EKS cluster Amazon.
eks— Descrivi facoltativamente il cluster come parte del bootstrap dei nodi.
eks-auth:AssumeRoleForPodIdentity— Consenti il recupero delle credenziali per i carichi di lavoro sul nodo. EKS Ciò è necessario per il corretto funzionamento di EKS Pod Identity.

Per visualizzare la versione più recente del documento sulla JSON policy, vedere A mazonEKSWorker NodePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSWorker NodeMinimalPolicy

Puoi allegare la A mazonEKSWorker NodeMinimalPolicy alle tue IAM entità. Puoi collegare questa policy a un IAM ruolo del nodo che specifichi quando EC2 crei nodi Amazon che consentono EKS ad Amazon di eseguire azioni per tuo conto.

Questa politica concede ai EC2 nodi Amazon EKS Amazon le autorizzazioni per connettersi ai cluster AmazonEKS. Questa politica ha meno autorizzazioni rispetto ad A. mazonEKSWorker NodePolicy

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

eks-auth:AssumeRoleForPodIdentity- Consenti il recupero delle credenziali per i carichi di EKS lavoro sul nodo. Ciò è necessario per il corretto funzionamento di EKS Pod Identity.

Per visualizzare la versione più recente del documento sulla JSON policy, vedere A mazonEKSWorker NodePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: AWSServiceRoleForAmazonEKSNodegroup

Non puoi collegarti AWSServiceRoleForAmazonEKSNodegroup alle tue IAM entità. Questa politica è associata a un ruolo collegato al servizio che consente EKS ad Amazon di eseguire azioni per tuo conto. Per ulteriori informazioni, consulta Autorizzazioni di ruolo collegate ai servizi per Amazon EKS.

Questa politica concede le autorizzazioni di AWSServiceRoleForAmazonEKSNodegroup ruolo che consentono di creare e gestire gruppi di EC2 nodi Amazon nel tuo account.

Dettagli dell'autorizzazione

Questa politica include le seguenti autorizzazioni che consentono EKS ad Amazon di completare le seguenti attività:

ec2— Lavora con gruppi di sicurezza, tag, prenotazioni di capacità e modelli di avvio. Ciò è necessario per i gruppi di nodi EKS gestiti da Amazon per abilitare la configurazione dell'accesso remoto e descrivere le prenotazioni di capacità che possono essere utilizzate nei gruppi di nodi gestiti. Inoltre, i gruppi di nodi EKS gestiti da Amazon creano un modello di lancio per tuo conto. Questo serve a configurare il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito.
iam— Crea un ruolo collegato al servizio e assegna un ruolo. Ciò è richiesto dai gruppi di nodi EKS gestiti di Amazon per gestire i profili di istanza per il ruolo assegnato durante la creazione di un gruppo di nodi gestiti. Questo profilo di istanza viene utilizzato dalle EC2 istanze Amazon lanciate come parte di un gruppo di nodi gestito. Amazon EKS deve creare ruoli collegati ai servizi per altri servizi come i gruppi Amazon Auto EC2 Scaling. Queste autorizzazioni vengono utilizzate nella creazione di un gruppo di nodi gestito.
autoscaling— Lavora con i gruppi di sicurezza Auto Scaling. Ciò è richiesto dai gruppi di nodi EKS gestiti da Amazon per gestire il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito. Viene anche utilizzato per supportare funzionalità come lo sfratto Pods quando i nodi vengono terminati o riciclati durante gli aggiornamenti dei gruppi di nodi.

Per visualizzare la versione più recente del documento JSON sulla policy, consulta AWSServiceRoleForAmazonEKSNodegroupla AWS Managed Policy Reference Guide.

AWS politica gestita: Una mazonEBSCSIDriver politica

La AmazonEBSCSIDriverPolicy policy consente al driver Amazon EBS Container Storage Interface (CSI) di creare, modificare, allegare, scollegare ed eliminare volumi per tuo conto. Inoltre, concede al EBS CSI driver le autorizzazioni per creare ed eliminare istantanee e per elencare istanze, volumi e istantanee.

Per visualizzare la versione più recente del documento JSON sulla policy, vedere A mazonEBSCSIDriver ServiceRolePolicy nella Managed Policy Reference Guide. AWS

AWS politica gestita: Una mazonEFSCSIDriver politica

La AmazonEFSCSIDriverPolicy policy consente ad Amazon EFS Container Storage Interface (CSI) di creare ed eliminare punti di accesso per tuo conto. Concede inoltre ai EFS CSI driver Amazon le autorizzazioni per elencare i tuoi punti di accesso, i file system, le destinazioni di montaggio e le zone di EC2 disponibilità Amazon.

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEFSCSIDriver ServiceRolePolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSLocal OutpostClusterPolicy

È possibile allegare questa politica alle IAM entità. Prima di creare un cluster locale, è necessario collegare questa politica al proprio ruolo di cluster. Kubernetes i cluster gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.

La AmazonEKSLocalOutpostClusterPolicy include le autorizzazioni seguenti:

ec2azioni di lettura: consente alle istanze del piano di controllo di descrivere la zona di disponibilità, la tabella di routing, l'istanza e le proprietà dell'interfaccia di rete. Autorizzazioni richieste per consentire alle istanze Amazon di unirsi correttamente al cluster come EC2 istanze del piano di controllo.
ssm— Consente la connessione di Amazon EC2 Systems Manager all'istanza del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account.
logs— Consente alle istanze di inviare i log ad Amazon. CloudWatch
secretsmanager— Consente alle istanze di ottenere ed eliminare i dati di bootstrap per le istanze del piano di controllo in modo sicuro da Secrets Manager. AWS
ecr— Consente Pods e contenitori in esecuzione sulle istanze del piano di controllo per estrarre immagini di container archiviate in Amazon Elastic Container Registry.

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEKSLocal OutpostClusterPolicy nella AWS Managed Policy Reference Guide.

AWS politica gestita: A mazonEKSLocal OutpostServiceRolePolicy

Non puoi allegare questa politica alle tue IAM entità. Quando crei un cluster utilizzando un IAM principale che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, Amazon crea EKS automaticamente il ruolo AWSServiceRoleforAmazonEKSLocalOutpostcollegato al servizio per te e gli allega questa politica. Questa politica consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto per i cluster locali.

La AmazonEKSLocalOutpostServiceRolePolicy include le autorizzazioni seguenti:

ec2— Consente EKS ad Amazon di utilizzare sicurezza, rete e altre risorse per avviare e gestire correttamente le istanze del piano di controllo nel tuo account.
ssm— Consente la connessione di Amazon EC2 Systems Manager alle istanze del piano di controllo, che vengono utilizzate da Amazon EKS per comunicare e gestire il cluster locale nel tuo account.
iam— Consente EKS ad Amazon di gestire il profilo dell'istanza associato alle istanze del piano di controllo.
secretsmanager- Consente EKS ad Amazon di inserire i dati di bootstrap per le istanze del piano di controllo in AWS Secrets Manager in modo che possano essere referenziati in modo sicuro durante il bootstrap dell'istanza.
outposts— Consente EKS ad Amazon di ottenere informazioni su Outpost dal tuo account per avviare con successo un cluster locale in un Outpost.

Per visualizzare la versione più recente del documento sulla JSON policy, consulta A mazonEKSLocal OutpostServiceRolePolicy nella AWS Managed Policy Reference Guide.

EKSAggiornamenti Amazon alle politiche AWS gestite

Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon EKS da quando questo servizio ha iniziato a tracciare queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al RSS feed nella pagina della cronologia di Amazon EKS Document.

Modifica	Descrizione	Data
Autorizzazioni aggiunte a. AWS politica gestita: AWSServiceRoleForAmazonEKSNodegroup	Aggiornato `AWSServiceRoleForAmazonEKSNodegroup` per compatibilità con le regioni della Cina.	22 novembre 2024
Autorizzazioni aggiunte a AWS politica gestita: A mazonEKSLocal OutpostClusterPolicy	È stata aggiunta l'`ec2:DescribeAvailabilityZones`autorizzazione `AmazonEKSLocalOutpostClusterPolicy` per consentire al AWS Cloud Controller Manager sul piano di controllo del cluster di identificare la zona di disponibilità in cui si trova ogni nodo.	21 novembre 2024
Autorizzazioni aggiunte a. AWS politica gestita: AWSServiceRoleForAmazonEKSNodegroup	`AWSServiceRoleForAmazonEKSNodegroup`Policy aggiornata `ec2:RebootInstances` per consentire le istanze create da gruppi di nodi EKS gestiti da Amazon. `ec2:CreateTags`Autorizzazioni limitate per le EC2 risorse Amazon.	20 novembre 2024
Autorizzazioni aggiunte a. AWS politica gestita: A mazonEKSService RolePolicy	EKSpolitica AWS `AmazonEKSServiceRolePolicy` gestita aggiornata. Sono state aggiunte le autorizzazioni per le politiche di EKS accesso, la gestione del bilanciamento del carico e la pulizia automatica delle risorse del cluster.	16 novembre 2024
IntrodottoAWS politica gestita: Una mazonEKSCompute politica.	EKSpolitica AWS gestita aggiornata`AmazonEKSComputePolicy`. Autorizzazioni delle risorse aggiornate per l'`iam:AddRoleToInstanceProfile`azione.	7 novembre 2024
IntrodottoAWS politica gestita: Una mazonEKSCompute politica.	AWS ha introdotto il`AmazonEKSComputePolicy`.	1 novembre 2024
Autorizzazioni aggiunte a `AmazonEKSClusterPolicy`	È stata aggiunta `ec2:DescribeInstanceTopology` l'autorizzazione per consentire EKS ad Amazon di allegare informazioni sulla topologia al nodo come etichette.	1 novembre 2024
IntrodottoAWS politica gestita: A mazonEKSBlock StoragePolicy.	AWS ha introdotto il`AmazonEKSBlockStoragePolicy`.	30 ottobre 2024
IntrodottoAWS politica gestita: A mazonEKSLoad BalancingPolicy.	AWS ha introdotto il`AmazonEKSLoadBalancingPolicy`.	30 ottobre 2024
Autorizzazioni aggiunte ad A. mazonEKSService RolePolicy	Sono state aggiunte `cloudwatch:PutMetricData` autorizzazioni per consentire EKS ad Amazon di pubblicare metriche su Amazon. CloudWatch	29 ottobre 2024
IntrodottoAWS politica gestita: Una mazonEKSNetworking politica.	AWS ha introdotto il`AmazonEKSNetworkingPolicy`.	28 ottobre 2024
Autorizzazioni aggiunte a e `AmazonEKSServicePolicy` `AmazonEKSServiceRolePolicy`	Autorizzazioni ai tag aggiunte `ec2:GetSecurityGroupsForVpc` e associate per consentire EKS la lettura delle informazioni sul gruppo di sicurezza e l'aggiornamento dei tag correlati.	10 ottobre 2024
Introdotto A. mazonEKSWorker NodeMinimalPolicy	AWS ha introdotto il`AmazonEKSWorkerNodeMinimalPolicy`.	3 ottobre 2024
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup	Sono state aggiunte `autoscaling:ResumeProcesses` e `autoscaling:SuspendProcesses` autorizzazioni per consentire EKS ad Amazon di sospendere e ripristinare i gruppi di EKS Auto Scaling gestiti da `AZRebalance` Amazon.	21 agosto 2024
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup	È stata aggiunta `ec2:DescribeCapacityReservations` l'autorizzazione per consentire EKS ad Amazon di descrivere la prenotazione della capacità nell'account dell'utente. È stata aggiunta `autoscaling:PutScheduledUpdateGroupAction` l'autorizzazione per abilitare l'impostazione del ridimensionamento pianificato sui gruppi di `CAPACITY_BLOCK` nodi.	27 giugno 2024
Amazon EKS _ CNI _Policy — Aggiornamento a una policy esistente	Amazon EKS ha aggiunto nuove `ec2:DescribeSubnets` autorizzazioni per consentire Amazon VPC CNI plugin for Kubernetes per vedere la quantità di indirizzi IP gratuiti nelle tue VPC sottoreti Amazon. VPCCNIPossono utilizzare gli indirizzi IP gratuiti in ogni sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un'interfaccia di rete elastica.	4 marzo 2024
A mazonEKSWorker NodePolicy — Aggiornamento a una politica esistente	Amazon EKS ha aggiunto nuove autorizzazioni per consentire le identità EKS Pod. Amazon EKS Pod Identity Agent utilizza il ruolo del nodo.	26 novembre 2023
È stata introdotta una mazonEFSCSIDriver politica.	AWS ha introdotto il`AmazonEFSCSIDriverPolicy`.	26 luglio 2023
Autorizzazioni aggiunte a A mazonEKSCluster Policy.	È stata aggiunta `ec2:DescribeAvailabilityZones` l'autorizzazione per consentire ad Amazon di EKS ottenere i dettagli della zona di attività durante l'individuazione automatica delle sottoreti durante la creazione di sistemi di bilanciamento del carico.	7 febbraio 2023
Condizioni politiche aggiornate in A Policy. mazonEBSCSIDriver	Sono state rimosse condizioni della policy non valide con caratteri jolly nel campo chiave `StringLike`. È stata inoltre aggiunta una nuova condizione `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` a`ec2:DeleteVolume`, che consente al EBS CSI driver di eliminare i volumi creati dal plug-in in-tree.	17 novembre 2022
Sono state aggiunte le autorizzazioni ad A. mazonEKSLocal OutpostServiceRolePolicy	Aggiunti `ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` e `ec2:DescribeSecret` per consentire una migliore convalida dei prerequisiti e il controllo gestito del ciclo di vita. Inoltre, è stato aggiunto `ec2:DescribePlacementGroups` e `ec2:RunInstances` aggiornato `"arn:aws: ec2:::placement-group/*"` per supportare il controllo del posizionamento delle EC2 istanze Amazon del piano di controllo su Outposts.	24 ottobre 2022
Aggiorna le autorizzazioni di Amazon Elastic Container Registry in A. mazonEKSLocal OutpostClusterPolicy	L'azione `ecr:GetDownloadUrlForLayer` è stata spostata da tutte le sezioni delle risorse a una sezione con ambito. Aggiunta la risorsa `arn:aws: ecr:::repository/eks/`. Risorsa `arn:aws: ecr:` rimossa. Questa risorsa è coperta dalla risorsa `arn:aws: ecr:::repository/eks/*` aggiunta.	20 ottobre 2022
Autorizzazioni aggiunte ad A. mazonEKSLocal OutpostClusterPolicy	È stato aggiunto il repository `arn:aws: ecr:::repository/kubelet-config-updater` Amazon Elastic Container Registry in modo che le istanze del piano di controllo del cluster possano aggiornare alcuni argomenti `kubelet`.	31 agosto 2022
Ha introdotto A. mazonEKSLocal OutpostClusterPolicy	AWS ha introdotto il`AmazonEKSLocalOutpostClusterPolicy`.	24 agosto 2022
Ha introdotto mazonEKSLocalOutpostServiceRolePolicyA.	AWS ha introdotto il`AmazonEKSLocalOutpostServiceRolePolicy`.	23 agosto 2022
Ha introdotto una mazonEBSCSIDriver politica.	AWS ha introdotto il`AmazonEBSCSIDriverPolicy`.	4 aprile 2022
Autorizzazioni aggiunte ad A. mazonEKSWorker NodePolicy	`ec2:DescribeInstanceTypes`Aggiunto per abilitare Amazon, EKS ottimizzato per Amazon, in AMIs grado di scoprire automaticamente le proprietà a livello di istanza.	21 marzo 2022
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup	È stata aggiunta `autoscaling:EnableMetricsCollection` l'autorizzazione per consentire EKS ad Amazon di abilitare la raccolta di metriche.	13 dicembre 2021
Autorizzazioni aggiunte a A mazonEKSCluster Policy.	Sono state aggiunte `ec2:DescribeAccountAttributes` e `ec2:DescribeInternetGateways` autorizzazioni per consentire ad Amazon di creare un ruolo collegato EKS al servizio per un Network Load Balancer. `ec2:DescribeAddresses`	17 giugno 2021
Amazon EKS ha iniziato a tracciare le modifiche.	Amazon EKS ha iniziato a tracciare le modifiche alle sue politiche AWS gestite.	17 giugno 2021

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

IAMRuolo di Amazon EKS Connector

Risoluzione dei problemi