Aiutaci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando viene lanciato un nuovo AWS servizio o quando nuove operazioni API diventano disponibili per i servizi esistenti.
Per ulteriori informazioni, consulta Policy gestite da AWSnella Guida per l'utente di IAM.
AWS politica gestita: Amazoneks_CNI_Policy
É possibile allegare la AmazonEKS_CNI_Policy
alle entità IAM. Prima di creare un gruppo di EC2 nodi Amazon, questa policy deve essere associata al ruolo IAM del nodo o a un ruolo IAM utilizzato specificamente da Amazon VPC CNI plugin for Kubernetes. In questo modo può eseguire azioni per tuo conto. Ti consigliamo di associare la policy a un ruolo utilizzato solo dal plugin. Per ulteriori informazioni, consulta Assegna IPs a Pods con Amazon VPC CNI e Configurare il plug-in Amazon VPC CNI per utilizzare IRSA.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2:*NetworkInterface
eec2:*PrivateIpAddresses
— Consente al plug-in Amazon VPC CNI di eseguire azioni come il provisioning di interfacce di rete elastiche e indirizzi IP per Pods per fornire reti per applicazioni eseguite in Amazon EKS. -
ec2
azioni di lettura: consente al plug-in Amazon VPC CNI di eseguire azioni come descrivere istanze e sottoreti per visualizzare la quantità di indirizzi IP gratuiti nelle sottoreti Amazon VPC. Il VPC CNI può utilizzare gli indirizzi IP gratuiti in ogni sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un'interfaccia di rete elastica.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazoneks_CNI_Policy nella Managed Policy Reference Guide. AWS
AWS politica gestita: Amazon EKSCluster Policy
È possibile allegare AmazonEKSClusterPolicy
alle entità IAM. Prima di creare un cluster, è necessario disporre di un ruolo IAM del cluster con questa policy allegata. Kubernetes i cluster gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
autoscaling
— Leggi e aggiorna la configurazione di un gruppo Auto Scaling. Queste autorizzazioni non vengono utilizzate da Amazon EKS ma rimangono nella politica di compatibilità con le versioni precedenti. -
ec2
— Lavora con volumi e risorse di rete associati ai EC2 nodi Amazon. Ciò è necessario affinché Kubernetes control plane può unire le istanze a un cluster e fornire e gestire dinamicamente i volumi Amazon EBS richiesti da Kubernetes volumi persistenti. -
elasticloadbalancing
— Lavora con Elastic Load Balancer e aggiungi loro nodi come destinazioni. Ciò è necessario affinché Kubernetes control plane può fornire dinamicamente gli Elastic Load Balancer richiesti da Kubernetes servizi. -
iam
— Creare un ruolo collegato al servizio. Ciò è necessario affinché Kubernetes control plane può fornire dinamicamente gli Elastic Load Balancer richiesti da Kubernetes servizi. -
kms
— Leggi una chiave da AWS KMS. Questo è necessario per Kubernetes piano di controllo per supportare la crittografia segretadi Kubernetes segreti archiviati in etcd
.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSCluster Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSFargate PodExecutionRolePolicy
È possibile collegare AmazonEKSFargatePodExecutionRolePolicy
alle entità IAM. Prima di poter creare un profilo Fargate, è necessario creare un profilo Fargate Pod ruolo di esecuzione e allegare ad esso questa politica. Per ulteriori informazioni, consulta Fase 2: Creare un Fargate Pod ruolo di esecuzione e Definisci quale Pods usa AWS Fargate all'avvio.
Questa politica concede al ruolo le autorizzazioni che forniscono l'accesso ad altre risorse di AWS servizio necessarie per eseguire Amazon EKS. Pods su Fargate.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ecr
— Consente ai pod in esecuzione su Fargate di estrarre le immagini dei container archiviate in Amazon ECR.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSFargate PodExecutionRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSFor FargateServiceRolePolicy
Non puoi collegarti AmazonEKSForFargateServiceRolePolicy
alle tue entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta AWSServiceRoleforAmazonEKSForFargate
.
Questa policy concede ad Amazon EKS le autorizzazioni necessarie per eseguire le attività di Fargate. La policy viene utilizzato solo se si dispone di nodi Fargate.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
ec2
— Crea ed elimina interfacce di rete elastiche e descrivi le interfacce e le risorse di rete elastiche. Ciò è necessario per consentire al servizio Amazon EKS Fargate di configurare la rete VPC richiesta per i Fargate Pod.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSFor FargateServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSCompute Policy
È possibile collegare AmazonEKSComputePolicy
alle entità IAM. Puoi allegare questa policy al tuo ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy concede le autorizzazioni necessarie ad Amazon EKS per creare e gestire EC2 istanze per il cluster EKS, nonché le autorizzazioni IAM necessarie per la configurazione. EC2
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2
Autorizzazioni:-
ec2:CreateFleet
eec2:RunInstances
- Consente di creare EC2 istanze e utilizzare EC2 risorse specifiche (immagini, gruppi di sicurezza, sottoreti) per i nodi del cluster EKS. -
ec2:CreateLaunchTemplate
- Consente di creare modelli di EC2 avvio per i nodi del cluster EKS. -
La politica include anche condizioni per limitare l'uso di queste EC2 autorizzazioni alle risorse contrassegnate con il nome del cluster EKS e altri tag pertinenti.
-
ec2:CreateTags
- Consente di aggiungere tag alle EC2 risorse create dalleCreateFleet
CreateLaunchTemplate
azioni e.RunInstances
-
-
iam
Autorizzazioni:-
iam:AddRoleToInstanceProfile
- Consente di aggiungere un ruolo IAM al profilo dell'istanza di calcolo EKS. -
iam:PassRole
- Consente di passare i ruoli IAM necessari al EC2 servizio.
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSCompute Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSNetworking Policy
È possibile collegare AmazonEKSNetworkingPolicy
alle entità IAM. Puoi allegare questa policy al tuo ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa politica è progettata per concedere le autorizzazioni necessarie ad Amazon EKS per creare e gestire interfacce di rete per il cluster EKS, consentendo al piano di controllo e ai nodi di lavoro di comunicare e funzionare correttamente.
Dettagli dell'autorizzazione
Questa politica concede le seguenti autorizzazioni per consentire ad Amazon EKS di gestire le interfacce di rete per il cluster:
-
ec2
Autorizzazioni dell'interfaccia di rete:-
ec2:CreateNetworkInterface
- Consente la creazione di interfacce EC2 di rete. -
La politica include condizioni per limitare l'uso di questa autorizzazione alle interfacce di rete contrassegnate con il nome del cluster EKS e il nome del nodo Kubernetes CNI.
-
ec2:CreateTags
- Consente di aggiungere tag alle interfacce di rete create dall'azione.CreateNetworkInterface
-
-
ec2
Autorizzazioni di gestione delle interfacce di rete:-
ec2:AttachNetworkInterface
,ec2:DetachNetworkInterface
- Consente di collegare e scollegare le interfacce di rete alle istanze. EC2 -
ec2:UnassignPrivateIpAddresses
,,ec2:UnassignIpv6Addresses
ec2:AssignPrivateIpAddresses
,ec2:AssignIpv6Addresses
- Consente di gestire l'assegnazione degli indirizzi IP delle interfacce di rete. -
Queste autorizzazioni sono limitate alle interfacce di rete contrassegnate con il nome del cluster EKS.
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSNetworking Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSBlock StoragePolicy
È possibile collegare AmazonEKSBlockStoragePolicy
alle entità IAM. Puoi allegare questa policy al tuo ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy concede le autorizzazioni necessarie ad Amazon EKS per creare, gestire e mantenere EC2 volumi e snapshot per il cluster EKS, consentendo al piano di controllo e ai nodi di lavoro di fornire e utilizzare lo storage persistente come richiesto dai carichi di lavoro Kubernetes.
Dettagli dell'autorizzazione
Questa policy IAM concede le seguenti autorizzazioni per consentire ad Amazon EKS di gestire EC2 volumi e snapshot:
-
ec2
Autorizzazioni per la gestione dei volumi:-
ec2:AttachVolume
,,ec2:DetachVolume
ec2:ModifyVolume
,ec2:EnableFastSnapshotRestores
- Consente di allegare, scollegare, modificare e abilitare ripristini rapidi delle istantanee per i volumi. EC2 -
Queste autorizzazioni sono limitate ai volumi contrassegnati con il nome del cluster EKS.
-
ec2:CreateTags
- Consente di aggiungere tag ai EC2 volumi e alle istantanee create dalle azioniCreateVolume
eCreateSnapshot
.
-
-
ec2
Autorizzazioni per la creazione di volumi:-
ec2:CreateVolume
- Consente la creazione di nuovi EC2 volumi. -
La politica include condizioni per limitare l'uso di questa autorizzazione ai volumi contrassegnati con il nome del cluster EKS e altri tag pertinenti.
-
ec2:CreateSnapshot
- Consente di creare nuove istantanee di EC2 volume. -
La politica include condizioni per limitare l'uso di questa autorizzazione alle istantanee contrassegnate con il nome del cluster EKS e altri tag pertinenti.
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSBlock StoragePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSLoad BalancingPolicy
È possibile collegare AmazonEKSLoadBalancingPolicy
alle entità IAM. Puoi allegare questa policy al tuo ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy IAM concede le autorizzazioni necessarie ad Amazon EKS per lavorare con vari AWS servizi per gestire Elastic Load Balancers (ELBs) e risorse correlate.
Dettagli dell'autorizzazione
Le autorizzazioni principali concesse da questa politica sono:
-
elasticloadbalancing
: Consente di creare, modificare e gestire Elastic Load Balancer e Target Groups. Ciò include le autorizzazioni per creare, aggiornare ed eliminare sistemi di bilanciamento del carico, gruppi target, ascoltatori e regole. -
ec2
: consente di creare e gestire gruppi di sicurezza, necessari al piano di controllo di Kubernetes per unire le istanze a un cluster e gestire i volumi Amazon EBS. Consente inoltre di descrivere ed elencare EC2 risorse come istanze, sottoreti VPCs, gruppi di sicurezza e altre risorse di rete. -
iam
: consente di creare un ruolo collegato al servizio per Elastic Load Balancing, necessario per il provisioning dinamico del piano di controllo di Kubernetes. ELBs -
kms
: Consente la lettura di una chiave da AWS KMS, necessaria affinché il piano di controllo di Kubernetes supporti la crittografia dei segreti Kubernetes archiviati in etcd. -
wafv2
eshield
: Consente di associare e dissociare Web e di ACLs creare/eliminare le protezioni AWS Shield per Elastic Load Balancers. -
cognito-idp
acm
, eelasticloadbalancing
: Concede le autorizzazioni per descrivere i client del pool di utenti, elencare e descrivere i certificati e descrivere i gruppi target, necessari al piano di controllo di Kubernetes per gestire gli Elastic Load Balancers.
La policy include anche diversi controlli delle condizioni per garantire che le autorizzazioni rientrino nell'ambito dello specifico cluster EKS gestito, utilizzando il tag. eks:eks-cluster-name
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSLoad BalancingPolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSService Policy
È possibile collegare AmazonEKSServicePolicy
alle entità IAM. I cluster creati prima del 16 aprile 2020 richiedono all'utente di creare un ruolo IAM e allegarvi questa policy. I cluster creati a partire dal 16 aprile 2020 non richiedono la creazione di un ruolo e non richiedono l'assegnazione di questa politica. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRole
autorizzazione, il ruolo collegato ai servizi AWSServiceRoleforAmazonEKS viene creato automaticamente per te. Al ruolo collegato ai servizi è EKSService RolePolicy associata la policy gestita: Amazon.
Questa policy consente ad Amazon EKS di creare e gestire le risorse necessarie per gestire i cluster Amazon EKS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
eks
— Aggiorna il Kubernetes versione del cluster dopo l'avvio di un aggiornamento. Questa autorizzazione non viene utilizzata da Amazon EKS ma rimane nella politica di compatibilità con le versioni precedenti. -
ec2
— Lavora con interfacce di rete elastiche e altre risorse e tag di rete. Ciò è richiesto da Amazon EKS per configurare una rete che faciliti la comunicazione tra i nodi e Kubernetes piano di controllo. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza. -
route53
— Associare un VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete endpoint privata per i tuoi Kubernetes server API del cluster. -
logs
— Registra gli eventi. Questo è necessario per consentire ad Amazon EKS di effettuare spedizioni Kubernetes log del piano di controllo verso CloudWatch. -
iam
— Creare un ruolo collegato al servizio. Questa operazione è necessaria affinché Amazon EKS possa creare il ruolo collegato al servizio Autorizzazioni del ruolo collegato ai servizi per Amazon EKS per conto dell'utente.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSService Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSService RolePolicy
Non puoi collegarti AmazonEKSServiceRolePolicy
alle tue entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRole
autorizzazione, il ruolo AWSServiceRoleforAmazonEKS collegato ai servizi viene creato automaticamente per te e questa policy gli viene allegata.
Questa policy consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
ec2
— Crea e descrivi le interfacce di rete elastiche e EC2 le istanze Amazon, il gruppo di sicurezza del cluster e il VPC necessari per creare un cluster. Per ulteriori informazioni, consulta Visualizza i requisiti dei gruppi di sicurezza Amazon EKS per i cluster. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza. -
iam
— Elenca tutte le policy gestite associate a un ruolo IAM. Ciò è necessario affinché Amazon EKS possa pubblicare e convalidare tutte le politiche gestite e le autorizzazioni necessarie per la creazione di un cluster. -
Associa un VPC a una zona ospitata: questa operazione è richiesta da Amazon EKS per abilitare la rete di endpoint privati per il tuo Kubernetes server API del cluster.
-
Evento di registro: necessario per consentire ad Amazon EKS di effettuare spedizioni Kubernetes log del piano di controllo a CloudWatch.
-
Metrica Put: è necessaria per consentire ad Amazon EKS di effettuare spedizioni Kubernetes log del piano di controllo a. CloudWatch
-
eks
- Gestisci le voci e le politiche di accesso ai cluster, permettendo un controllo granulare su chi può accedere alle risorse EKS e quali azioni possono eseguire. Ciò include l'associazione di policy di accesso standard per operazioni di elaborazione, rete, bilanciamento del carico e storage. -
elasticloadbalancing
- Crea, gestisci ed elimina i sistemi di bilanciamento del carico e i relativi componenti (listener, gruppi target, certificati) associati ai cluster EKS. Visualizza gli attributi e lo stato di integrità del load balancer. -
events
- Crea e gestisci EventBridge regole per il monitoraggio EC2 e gli eventi AWS Health relativi ai cluster EKS, abilitando risposte automatiche alle modifiche dell'infrastruttura e agli avvisi sullo stato. -
iam
- Gestisci i profili delle EC2 istanze con il prefisso «eks», inclusa la creazione, l'eliminazione e l'associazione dei ruoli, necessarie per la gestione dei nodi EKS. -
pricing
&shield
- Accedi alle informazioni AWS sui prezzi e allo stato di protezione Shield, abilitando la gestione dei costi e funzionalità di sicurezza avanzate per le risorse EKS. -
Pulizia delle risorse: elimina in modo sicuro le risorse con tag EKS, inclusi volumi, istantanee, modelli di avvio e interfacce di rete durante le operazioni di pulizia dei cluster.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSService RolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSVPCResource Controller
È possibile allegare la policy AmazonEKSVPCResourceController
alle identità IAM. Se utilizzi gruppi di sicurezza per Pods, devi collegare questa policy al ruolo IAM del cluster Amazon EKS per eseguire azioni per tuo conto.
Questa policy concede le autorizzazioni del ruolo cluster per gestire le interfacce di rete elastiche e gli indirizzi IP per i nodi.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2
— Gestisci le interfacce di rete elastiche e gli indirizzi IP per il supporto Pod gruppi di sicurezza e Windows nodi.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSVPCResource Controller nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSWorker NodePolicy
É possibile allegare la AmazonEKSWorkerNodePolicy
alle entità IAM. Devi collegare questa policy a un ruolo IAM del nodo che specifichi quando EC2 crei nodi Amazon che consentono ad Amazon EKS di eseguire azioni per tuo conto. Se si crea un gruppo di nodi utilizzando eksctl
, si crea il ruolo IAM del nodo e si allega automaticamente questa policy al ruolo.
Questa politica concede ai EC2 nodi Amazon EKS le autorizzazioni per connettersi ai cluster Amazon EKS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2
— Leggi il volume delle istanze e le informazioni sulla rete. Ciò è necessario affinché Kubernetes i nodi possono descrivere le informazioni sulle EC2 risorse Amazon necessarie affinché il nodo entri a far parte del cluster Amazon EKS. -
eks
— Descrivi facoltativamente il cluster come parte del bootstrap dei nodi. -
eks-auth:AssumeRoleForPodIdentity
— Consenti il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSWorker NodePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSWorker NodeMinimalPolicy
Puoi collegare Amazon EKSWorker NodeMinimalPolicy alle tue entità IAM. Puoi collegare questa policy a un ruolo IAM del nodo che specifichi quando EC2 crei nodi Amazon che consentono ad Amazon EKS di eseguire azioni per tuo conto.
Questa politica concede ai EC2 nodi Amazon EKS le autorizzazioni per connettersi ai cluster Amazon EKS. Questa politica ha meno autorizzazioni rispetto ad Amazon EKSWorkerNodePolicy.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
eks-auth:AssumeRoleForPodIdentity
- Consenti il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSWorker NodePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: AWSService RoleForAmazon EKSNodegroup
Non puoi collegarti AWSServiceRoleForAmazonEKSNodegroup
alle tue entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS.
Questa politica concede le autorizzazioni di AWSServiceRoleForAmazonEKSNodegroup
ruolo che consentono di creare e gestire gruppi di EC2 nodi Amazon nel tuo account.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2
— Lavora con gruppi di sicurezza, tag, prenotazioni di capacità e modelli di lancio. Ciò è necessario per i gruppi di nodi gestiti di Amazon EKS per abilitare la configurazione dell'accesso remoto e descrivere le prenotazioni di capacità che possono essere utilizzate nei gruppi di nodi gestiti. Inoltre, i gruppi di nodi gestiti da Amazon EKS creano un modello di avvio per conto dell'utente. Questo serve a configurare il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito. -
iam
— Crea un ruolo collegato al servizio e assegna un ruolo. Ciò è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire i profili di istanza per il ruolo passato durante la creazione di un gruppo di nodi gestito. Questo profilo di istanza viene utilizzato dalle EC2 istanze Amazon lanciate come parte di un gruppo di nodi gestito. Amazon EKS deve creare ruoli collegati ai servizi per altri servizi come i gruppi Amazon Auto EC2 Scaling. Queste autorizzazioni vengono utilizzate nella creazione di un gruppo di nodi gestito. -
autoscaling
— Lavora con i gruppi di sicurezza Auto Scaling. Ciò è richiesto dai gruppi di nodi gestiti di Amazon EKS per gestire il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito. Viene anche utilizzato per supportare funzionalità come lo sfratto Pods quando i nodi vengono terminati o riciclati durante gli aggiornamenti dei gruppi di nodi.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta la AWS Managed Policy AWSServiceRoleForAmazonEKSNodegroupReference Guide.
AWS politica gestita: Amazon EBSCSIDriver Policy
La policy AmazonEBSCSIDriverPolicy
consente al driver Container Storage Interface (CSI) di Amazon EBS di creare, modificare, collegare, scollegare ed eliminare volumi per conto dell'utente. Ciò include la modifica dei tag sui volumi esistenti e l'abilitazione di Fast Snapshot Restore (FSR) sui volumi EBS. Concede inoltre al driver CSI EBS le autorizzazioni per creare, ripristinare ed eliminare istantanee e per elencare istanze, volumi e istantanee.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EBSCSIDriver ServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EFSCSIDriver Policy
LaAmazonEFSCSIDriverPolicy
la policy consente all'Amazon EFS Container Storage Interface (CSI) di creare ed eliminare punti di accesso per tuo conto. Inoltre, concede al driver CSI di Amazon EFS le autorizzazioni per elencare punti di accesso, file system, destinazioni di montaggio e zone di disponibilità Amazon EC2 .
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EFSCSIDriver ServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSLocal OutpostClusterPolicy
È possibile collegare questa policy alle entità IAM. Prima di creare un cluster locale, devi collegare questa politica al tuo ruolo di cluster. Kubernetes i cluster gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.
La AmazonEKSLocalOutpostClusterPolicy
include le autorizzazioni seguenti:
-
ec2
azioni di lettura: consente alle istanze del piano di controllo di descrivere le proprietà della zona di disponibilità, della tabella di percorso, dell'istanza e dell'interfaccia di rete. Autorizzazioni necessarie per consentire alle EC2 istanze Amazon di unirsi correttamente al cluster come istanze del piano di controllo. -
ssm
— Consente la connessione di Amazon EC2 Systems Manager all'istanza del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account. -
logs
— Consente alle istanze di inviare i log ad Amazon. CloudWatch -
secretsmanager
— Consente alle istanze di ottenere ed eliminare i dati di bootstrap per le istanze del piano di controllo in modo sicuro da Secrets Manager. AWS -
ecr
— Consente Pods e contenitori in esecuzione sulle istanze del piano di controllo per estrarre immagini di container archiviate in Amazon Elastic Container Registry.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSLocal OutpostClusterPolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSLocal OutpostServiceRolePolicy
Non puoi allegare questa policy alle tue entità IAM. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRole
autorizzazione, Amazon EKS crea automaticamente il ruolo collegato al servizio AWSServiceRoleforAmazonEKSLocalOutpost per te e gli allega questa policy. Questa policy consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto per i cluster locali.
La AmazonEKSLocalOutpostServiceRolePolicy
include le autorizzazioni seguenti:
-
ec2
— Consente ad Amazon EKS di utilizzare sicurezza, rete e altre risorse per avviare e gestire correttamente le istanze del piano di controllo nel tuo account. -
ssm
— Consente la connessione di Amazon EC2 Systems Manager alle istanze del piano di controllo, utilizzate da Amazon EKS per comunicare e gestire il cluster locale nel tuo account. -
iam
— Consente ad Amazon EKS di gestire il profilo dell'istanza associato alle istanze del piano di controllo. -
secretsmanager
- Consente ad Amazon EKS di inserire i dati di bootstrap per le istanze del piano di controllo in AWS Secrets Manager in modo che possano essere referenziati in modo sicuro durante il bootstrap dell'istanza. -
outposts
— Consente ad Amazon EKS di ottenere informazioni su Outpost dal tuo account per avviare con successo un cluster locale in un Outpost.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSLocal OutpostServiceRolePolicy nella AWS Managed Policy Reference Guide.
Amazon EKS si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon EKS da quando questo servizio ha iniziato a tracciare queste modifiche. Per gli avvisi automatici sulle modifiche apportate a questa pagina, effettua l'abbonamento al feed RSS nella pagina della cronologia dei documenti di Amazon EKS.
Modifica | Descrizione | Data |
---|---|---|
Sono state aggiunte le autorizzazioni ad Amazon EBSCSIDriver Policy. |
È stata aggiunta una nuova dichiarazione che autorizza il driver CSI EBS a ripristinare tutte le istantanee. Ciò era precedentemente consentito dalla politica esistente, ma è necessaria una nuova dichiarazione esplicita a causa di una modifica nella gestione di IAM for. È stata aggiunta la possibilità per il driver CSI EBS di modificare i tag sui volumi esistenti. Il driver CSI EBS può modificare i tag dei volumi esistenti tramite un parametro in Kubernetes ``es. VolumeAttributesClass È stata aggiunta la possibilità per il driver CSI EBS di abilitare Fast Snapshot Restore (FSR) sui volumi EBS. Il driver CSI EBS può abilitare FSR su nuovi volumi tramite parametri in Kubernetes ``es. StorageClass |
13 gennaio 2025 |
Autorizzazioni aggiunte a. AWS politica gestita: Amazon EKSLoad BalancingPolicy |
Aggiornato |
26 dicembre 2024 |
Autorizzazioni aggiunte a. AWS politica gestita: AWSService RoleForAmazon EKSNodegroup |
Aggiornato |
22 novembre 2024 |
Autorizzazioni aggiunte a AWS politica gestita: Amazon EKSLocal OutpostClusterPolicy |
È stata aggiunta l' |
21 novembre 2024 |
Autorizzazioni aggiunte a. AWS politica gestita: AWSService RoleForAmazon EKSNodegroup |
|
20 novembre 2024 |
Autorizzazioni aggiunte a. AWS politica gestita: Amazon EKSService RolePolicy |
Politica AWS |
16 novembre 2024 |
Politica AWS gestita aggiornata da EKS |
7 novembre 2024 |
|
AWS ha introdotto il |
1 novembre 2024 |
|
Autorizzazioni aggiunte a |
È stata aggiunta |
1 novembre 2024 |
IntrodottoAWS politica gestita: Amazon EKSBlock StoragePolicy. |
AWS ha introdotto il |
30 ottobre 2024 |
IntrodottoAWS politica gestita: Amazon EKSLoad BalancingPolicy. |
AWS ha introdotto il |
30 ottobre 2024 |
Autorizzazioni aggiunte ad Amazon EKSService RolePolicy. |
Sono state aggiunte |
29 ottobre 2024 |
Introdotto. AWS politica gestita: Amazon EKSNetworking Policy |
AWS ha introdotto il |
28 ottobre 2024 |
Autorizzazioni aggiunte a e |
Autorizzazioni ai tag aggiunte |
10 ottobre 2024 |
Presentato Amazon EKSWorker NodeMinimalPolicy. |
AWS ha introdotto il |
3 ottobre 2024 |
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup |
Sono state aggiunte |
21 agosto 2024 |
Sono state aggiunte autorizzazioni AWSServiceRoleForAmazonEKSNodegroupa. |
È stata aggiunta |
27 giugno 2024 |
Amazoneks_CNI_Policy — Aggiornamento a una politica esistente |
Amazon EKS ha aggiunto nuove |
4 marzo 2024 |
Amazon EKSWorker NodePolicy: aggiornamento a una politica esistente |
Amazon EKS ha aggiunto nuove autorizzazioni per consentire le associazioni EKS Pod Identity. Amazon EKS Pod Identity Agent utilizza il ruolo del nodo. |
26 novembre 2023 |
Introduzione EFSCSIDriverdella politica Amazon. |
AWS ha introdotto il |
26 luglio 2023 |
Sono state aggiunte le autorizzazioni ad Amazon EKSCluster Policy. |
È stata aggiunta l'autorizzazione |
7 febbraio 2023 |
Condizioni politiche aggiornate in Amazon EBSCSIDriver Policy. |
Sono state rimosse condizioni della policy non valide con caratteri jolly nel campo chiave |
17 novembre 2022 |
Autorizzazioni aggiunte ad Amazon EKSLocal OutpostServiceRolePolicy. |
Aggiunti |
24 ottobre 2022 |
Aggiorna le autorizzazioni di Amazon Elastic Container Registry in Amazon EKSLocal OutpostClusterPolicy. |
L'azione |
20 ottobre 2022 |
Autorizzazioni aggiunte ad Amazon EKSLocal OutpostClusterPolicy. |
È stato aggiunto il repository |
31 agosto 2022 |
Presentato Amazon EKSLocal OutpostClusterPolicy. |
AWS ha introdotto il |
24 agosto 2022 |
Presentato Amazon EKSLocal OutpostServiceRolePolicy. |
AWS ha introdotto il |
23 agosto 2022 |
Introduzione EBSCSIDriverdella politica Amazon. |
AWS ha introdotto il |
4 aprile 2022 |
Autorizzazioni aggiunte ad Amazon EKSWorker NodePolicy. |
|
21 marzo 2022 |
Autorizzazioni aggiunte a. AWSServiceRoleForAmazonEKSNodegroup |
Aggiunta l'autorizzazione |
13 dicembre 2021 |
Sono state aggiunte le autorizzazioni ad Amazon EKSCluster Policy. |
Aggiunta delle autorizzazioni |
17 giugno 2021 |
Amazon EKS ha iniziato a monitorare le modifiche |
Amazon EKS ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. |
17 giugno 2021 |