Aiutaci a migliorare questa pagina
Vuoi contribuire a questa guida per l'utente? Scorri fino alla fine di questa pagina e seleziona Modifica questa pagina su GitHub. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Elastic Kubernetes Service
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne AWS servizio viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.
AWS politica gestita: Amazoneks_CNI_Policy
É possibile allegare la AmazonEKS_CNI_Policy alle entità IAM. Prima di creare un gruppo di nodi Amazon EC2, questa policy deve essere allegata al ruolo IAM del nodo o a un ruolo IAM che viene utilizzato in modo specifico dal Amazon VPC CNI plugin for Kubernetes. In questo modo può eseguire operazioni per conto dell'utente. Si consiglia di allegare le policy a un ruolo utilizzato solo dal plugin. Per ulteriori informazioni, consulta Lavorare con il EKS componente aggiuntivo Amazon VPC CNI plugin for Kubernetes Amazon e Configurazione dell'Amazon VPC CNI plugin for Kubernetesutilizzo dei ruoli IAM per gli account di servizio (IRSA).
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2:*NetworkInterfaceeec2:*PrivateIpAddresses— Consente al plug-in Amazon VPC CNI di eseguire azioni come il provisioning di interfacce di rete elastiche e indirizzi IP per fornire reti Pods per le applicazioni eseguite in Amazon EKS. -
ec2azioni di lettura: consente al plug-in Amazon VPC CNI di eseguire azioni come descrivere istanze e sottoreti per visualizzare la quantità di indirizzi IP gratuiti nelle sottoreti Amazon VPC. Il VPC CNI può utilizzare gli indirizzi IP gratuiti in ogni sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un'interfaccia di rete elastica.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazoneks_CNI_Policy nella Managed Policy Reference Guide. AWS
AWS politica gestita: AmazonEks ClusterPolicy
È possibile allegare AmazonEKSClusterPolicy alle entità IAM. Prima di creare un cluster, è necessario disporre di un ruolo IAM del cluster con questa policy allegata. Kubernetesi cluster gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
autoscaling: leggi e aggiorna la configurazione di un gruppo Auto Scaling. Queste autorizzazioni non vengono utilizzate da Amazon EKS, ma rimangono nella policy per la compatibilità con le versioni precedenti. -
ec2: lavora con volumi e risorse di rete associati ai nodi Amazon EC2. Ciò è necessario affinché il piano di controllo (control-plane) Kubernetes possa unire le istanze a un cluster ed eseguire dinamicamente il provisioning e la gestione dei volumi Amazon EBS richiesti dai volumi persistenti di Kubernetes. -
elasticloadbalancing: lavora con Elastic Load Balancers e aggiungi nodi come destinazioni. Ciò è necessario affinché il piano di controllo Kubernetespossa eseguire dinamicamente il provisioning degli Elastic Load Balancer richiesti dai servizi Kubernetes. -
iam: creazione di un ruolo collegato ai servizi. Ciò è necessario affinché il piano di controllo Kubernetespossa eseguire dinamicamente il provisioning degli Elastic Load Balancer richiesti dai servizi Kubernetes. -
kms:leggi una chiave da AWS KMS. Questa attività è necessaria affinché il piano di controllo (control-plane) Kubernetes supporti la crittografia dei segretidi Kubernetes archiviati in etcd.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta ClusterPolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AmazonEks FargatePodExecutionRolePolicy
È possibile allegare AmazonEKSFargatePodExecutionRolePolicy alle entità IAM. Prima di poter creare un profilo di Fargate, è necessario creare un ruolo di esecuzione del Pod Fargate e allegare questa policy ad esso. Per ulteriori informazioni, consulta Fase 2: Creare un ruolo di esecuzione Fargate Pod e Definisci quale Pods utilizzo al AWS Fargate momento del lancio.
Questa politica concede al ruolo le autorizzazioni che forniscono l'accesso ad altre risorse di AWS servizio necessarie per eseguire Amazon EKS su Pods Fargate.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ecr: consente ai pod in esecuzione su Fargate di estrarre le immagini del container memorizzate in Amazon ECR.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta FargatePodExecutionRolePolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AmazonEks ForFargateServiceRolePolicy
Non è possibile allegare AmazonEKSForFargateServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta. AWSServiceRoleforAmazonEKSForFargate
Questa policy concede ad Amazon EKS le autorizzazioni necessarie per eseguire le attività di Fargate. La policy viene utilizzato solo se si dispone di nodi Fargate.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
ec2: crea ed elimina interfacce di rete elastiche e descrive le interfacce di rete elastiche e le risorse. Questa operazione è necessaria affinché il servizio Amazon EKS Fargate possa configurare la rete VPC necessaria per i pod Fargate.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta ForFargateServiceRolePolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AmazonEks ServicePolicy
È possibile allegare AmazonEKSServicePolicy alle entità IAM. I cluster creati prima del 16 aprile 2020 richiedono all'utente di creare un ruolo IAM e allegarvi questa policy. I cluster creati a partire dal 16 aprile 2020 non richiedono la creazione di un ruolo e non richiedono l'assegnazione di questa policy. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, il ruolo AWS ServiceRoleforAmazonEKS collegato al servizio viene creato automaticamente per te. Il ruolo collegato al servizio ha la proprietà AWS politica gestita: AmazonEks ServiceRolePolicy ad esso allegata.
Questa policy consente ad Amazon EKS di creare e gestire le risorse necessarie per gestire i cluster Amazon EKS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
eks: aggiorna la versione Kubernetes del cluster dopo aver avviato un aggiornamento. Questa autorizzazione non viene utilizzata da Amazon EKS, ma rimane nella policy per la compatibilità con le versioni precedenti. -
ec2: lavora con le interfacce di rete elastiche e altre risorse e tag di rete. Ciò è richiesto da Amazon EKS per configurare la rete che facilita la comunicazione tra i nodi e il piano di controllo Kubernetes. -
route53: associa un VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete di endpoint privati per il server API del cluster Kubernetes. -
logs: log eventi. Ciò è necessario per consentire ad Amazon EKS di spedire i log Kubernetes del piano di controllo a CloudWatch. -
iam: creazione di un ruolo collegato ai servizi. Questa operazione è necessaria affinché Amazon EKS possa creare il ruolo collegato al servizio AWSServiceRoleForAmazonEKS per conto dell'utente.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta ServicePolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AmazonEks ServiceRolePolicy
Non è possibile allegare AmazonEKSServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, il ruolo AWS ServiceRoleforAmazonEKS collegato al servizio viene creato automaticamente per te e questa policy gli viene allegata.
Questa policy consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
ec2: crea e descrive le interfacce di rete elastiche e le istanze di Amazon EC2, il gruppo di sicurezza del cluster e i VPC necessari per la creazione del cluster. -
iam: elenca tutti i criteri gestiti allegati a un ruolo IAM. Ciò è necessario affinché Amazon EKS possa pubblicare e convalidare tutte le politiche gestite e le autorizzazioni necessarie per la creazione di un cluster. -
Associazione di un VPC a una zona ospitata: richiesto da Amazon EKS per abilitare la rete di endpoint privati per il server API del cluster Kubernetes.
-
Evento di registro: è necessario per consentire ad Amazon EKS di inviare i log Kubernetes del piano di controllo a CloudWatch.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta ServiceRolePolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AmazonekSVPC ResourceController
È possibile allegare la policy AmazonEKSVPCResourceControlleralle identità IAM. Se utilizzi gruppi di sicurezza per Pods, dovrai allegare questa policy al Ruolo IAM del cluster Amazon EKS perché possa eseguire operazioni per tuo conto.
Questa policy concede le autorizzazioni del ruolo cluster per gestire le interfacce di rete elastiche e gli indirizzi IP per i nodi.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2: gestisci le interfacce di rete elastiche e gli indirizzi IP per supportare i gruppi di sicurezza dei Pod e i nodi Windows.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta ResourceControllerAmazonekSVPC nella Managed Policy Reference Guide. AWS
AWS politica gestita: AmazonEks WorkerNodePolicy
É possibile allegare la AmazonEKSWorkerNodePolicy alle entità IAM. È necessario allegare questa policy a un Ruolo IAM del nodo che va specificato quando si creano nodi Amazon EC2 che consentono ad Amazon EKS di eseguire operazioni per conto dell'utente. Se si crea un gruppo di nodi utilizzando eksctl, si crea il ruolo IAM del nodo e si allega automaticamente questa policy al ruolo.
Questa policy concede ai nodi Amazon EKS Amazon EC2 le autorizzazioni per connettersi ai cluster Amazon EKS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2: leggere le informazioni sul volume dell'istanza e sulla rete. Ciò è necessario affinché i nodi Kubernetes possano descrivere le informazioni sulle risorse Amazon EC2 necessarie per l'unione del nodo al cluster Amazon EKS. -
eks: descrivere in modo facoltativo il cluster come parte del bootstrap del nodo. -
eks-auth:AssumeRoleForPodIdentity: consentire il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta WorkerNodePolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AWSServiceRoleForAmazonEKSNodegroup
Non è possibile allegare AWS ServiceRoleForAmazonEKSNodegroup alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS.
Questa policy concede l'autorizzazione ai ruoli AWS ServiceRoleForAmazonEKSNodegroup che consentono di creare e gestire gruppi di nodi Amazon EC2 nell'account.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2— Lavora con gruppi di sicurezza, tag, prenotazioni di capacità e modelli di lancio. Ciò è necessario per i gruppi di nodi gestiti di Amazon EKS per abilitare la configurazione dell'accesso remoto e descrivere le prenotazioni di capacità che possono essere utilizzate nei gruppi di nodi gestiti. Inoltre, i gruppi di nodi gestiti da Amazon EKS creano un modello di avvio per conto dell'utente. Questo consente di configurare il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito. -
iam: creazione di un ruolo collegato ai servizi e passa un ruolo. Ciò è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire i profili di istanza per il ruolo passato durante la creazione di un gruppo di nodi gestito. Questo profilo dell'istanza viene utilizzato dalle istanze Amazon EC2 avviate come parte di un gruppo di nodi gestito. Amazon EKS deve creare ruoli collegati al servizio per altri servizi come, ad esempio i gruppi di Amazon EC2 Auto Scaling. Queste autorizzazioni vengono utilizzate nella creazione di un gruppo di nodi gestito. -
autoscaling: lavora con gruppi Auto Scaling di sicurezza. Questo è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire il gruppo di Amazon EC2 Auto Scaling che supporta ciascun gruppo di nodi gestito. Viene inoltre utilizzato per supportare funzionalità quali la rimozione di Pods quando i nodi vengono terminati o riavviati durante gli aggiornamenti dei gruppi di nodi.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta AWSServiceRoleForAmazonEKSNodegroupla AWS Managed Policy Reference Guide.
AWS politica gestita: AmazoneBSCSI DriverPolicy
La policy AmazonEBSCSIDriverPolicy consente al driver Container Storage Interface (CSI) di Amazon EBS di creare, modificare, collegare, scollegare ed eliminare volumi per conto dell'utente. Concede inoltre al driver CSI di EBS le autorizzazioni necessarie per creare snapshot, eliminarli e per elencare istanze, volumi e snapshot.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta DriverServiceRolePolicyAmazoneBSCSI nella Managed Policy Reference Guide. AWS
AWS politica gestita: AmazoneFSCSI DriverPolicy
LaAmazonEFSCSIDriverPolicyla policy consente all'Amazon EFS Container Storage Interface (CSI) di creare ed eliminare punti di accesso per tuo conto. Concede inoltre al driver CSI di Amazon EFS le autorizzazioni per elencare i punti di accesso, i file system, gli obiettivi di montaggio e le zone di disponibilità di Amazon EC2.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta DriverServiceRolePolicyAmazoneFSCSI nella Managed Policy Reference Guide. AWS
AWS politica gestita: AmazonEks LocalOutpostClusterPolicy
È possibile collegare questa policy alle entità IAM. Prima di creare un cluster locale, devi collegare questa politica al tuo ruolo di cluster. Kubernetesi cluster gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.
La AmazonEKSLocalOutpostClusterPolicy include le autorizzazioni seguenti:
-
ec2: autorizzazioni necessarie affinché le istanze Amazon EC2 si uniscano correttamente al cluster come istanze del piano di controllo. -
ssm: consente la connessione di Amazon EC2 Systems Manager all'istanza del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account. -
logs— Consente alle istanze di inviare i log ad Amazon. CloudWatch -
secretsmanager— Consente alle istanze di ottenere ed eliminare i dati di bootstrap per le istanze del piano di controllo in modo sicuro. AWS Secrets Manager -
ecr: consente a Pods e ai container in esecuzione sulle istanze del piano di controllo di estrarre le immagini di container memorizzate in Amazon Elastic Container Registry.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta LocalOutpostClusterPolicyAmazonEks nella AWS Managed Policy Reference Guide.
AWS politica gestita: AmazonEks LocalOutpostServiceRolePolicy
Non è possibile attribuire questa policy alle entità IAM. Quando si crea un cluster tramite un principale IAM che dispone dell'autorizzazione iam:CreateServiceLinkedRole, Amazon EKS crea automaticamente il ruolo collegato al servizio AWSServiceRoleforAmazonEKSLocalOutpost per conto tuo e questa policy è collegata ad esso. Questa politica consente al ruolo collegato al servizio di chiamare AWS i servizi per tuo conto per i cluster locali.
La AmazonEKSLocalOutpostServiceRolePolicy include le autorizzazioni seguenti:
-
ec2: consente ad Amazon EKS di utilizzare le risorse di sicurezza, rete e altro tipo per avviare e gestire correttamente le istanze del piano di controllo nel tuo account. -
ssm: consente la connessione di Amazon EC2 Systems Manager alle istanze del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account. -
iam: consente ad Amazon EKS di gestire il profilo dell'istanza associato alle istanze del piano di controllo. -
secretsmanager— Consente ad Amazon EKS di inserire i dati di bootstrap per le istanze del piano di controllo in AWS Secrets Manager modo che possano essere referenziati in modo sicuro durante il bootstrap delle istanze. -
outposts: consente ad Amazon EKS di ottenere le informazioni sull'Outpost dal tuo account per avviare correttamente un cluster locale in un Outpost.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta LocalOutpostServiceRolePolicyAmazonEks nella AWS Managed Policy Reference Guide.
Amazon EKS si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon EKS da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, effettua l'abbonamento al feed RSS nella pagina della cronologia dei documenti di Amazon EKS.
| Modifica | Descrizione | Data |
|---|---|---|
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup |
È stata aggiunta |
27 giugno 2024 |
|
Amazoneks_CNI_Policy — Aggiornamento a una politica esistente |
Amazon EKS ha aggiunto nuove Il VPC CNI può utilizzare gli indirizzi IP gratuiti in ogni sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un'interfaccia di rete elastica. |
4 marzo 2024 |
|
WorkerNodePolicyAmazonEks — Aggiornamento a una politica esistente |
Amazon EKS ha aggiunto nuove autorizzazioni per consentire le associazioni EKS Pod Identity. Amazon EKS Pod Identity Agent utilizza il ruolo del nodo. |
26 novembre 2023 |
|
AWS ha introdotto il |
26 luglio 2023 | |
|
Sono state aggiunte le autorizzazioni ad AmazonEks ClusterPolicy. |
È stata aggiunta l'autorizzazione |
7 febbraio 2023 |
|
Condizioni politiche aggiornate in AmazoneBSCSI. DriverPolicy |
Sono state rimosse condizioni della policy non valide con caratteri jolly nel campo chiave |
17 novembre 2022 |
|
Sono state aggiunte le autorizzazioni ad AmazonEks LocalOutpostServiceRolePolicy. |
Aggiunti |
24 ottobre 2022 |
|
Aggiorna le autorizzazioni di Amazon Elastic Container Registry in AmazoneKS LocalOutpostClusterPolicy. |
L'azione |
20 ottobre 2022 |
|
Sono state aggiunte le autorizzazioni ad AmazonEks LocalOutpostClusterPolicy. |
È stato aggiunto il repository |
31 agosto 2022 |
|
Presentazione di AmazonEks LocalOutpostClusterPolicy. |
AWS ha introdotto il. |
24 agosto 2022 |
|
Presentazione di AmazonEks LocalOutpostServiceRolePolicy. |
AWS ha introdotto il. |
23 agosto 2022 |
|
Ha introdotto Amazon DriverPolicy BSCSI. |
AWS ha introdotto il |
4 aprile 2022 |
|
Sono state aggiunte le autorizzazioni ad AmazonEks WorkerNodePolicy. |
È stato aggiunto |
21 marzo 2022 |
|
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup |
Aggiunta l'autorizzazione |
13 dicembre 2021 |
|
Sono state aggiunte le autorizzazioni ad AmazonEks ClusterPolicy. |
Aggiunta delle autorizzazioni |
17 giugno 2021 |
|
Amazon EKS ha iniziato a monitorare le modifiche |
Amazon EKS ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. |
17 giugno 2021 |
