Ajudar a melhorar esta página
Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.
Políticas gerenciadas da AWS para o Amazon Elastic Kubernetes Service
Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.
Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da específicas para seus casos de uso.
Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.
Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.
Política gerenciada da AWS: AmazonEKS_CNI_Policy
Você pode anexar a AmazonEKS_CNI_Policy às suas entidades do IAM. Antes de criar um grupo de nós do Amazon EC2, essa política deve ser anexada à função do IAM do nó, ou para uma função do IAM que seja usada especificamente pelo Amazon VPC CNI plugin for Kubernetes. Isso é para que ele possa realizar ações em seu nome. Recomendamos que você anexe a política a uma função que é usada apenas pelo plugin. Para ter mais informações, consulte Atribuir IPs a Pods com a CNI da Amazon VPC e Configurar o plug-in CNI da Amazon VPC para usar IRSA.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ec2:*NetworkInterfaceeec2:*PrivateIpAddresses: permite que o plug-in CNI da Amazon VPC execute ações, como o provisionamento de interfaces de rede elástica e de endereços IP para Pods, com a finalidade de fornecer um sistema de rede para aplicações executadas no Amazon EKS. -
Ações de leitura do
ec2: permite que o plug-in CNI da Amazon VPC execute ações, como a descrição de instâncias e de sub-redes, para visualizar a quantidade de endereços IP disponíveis nas sub-redes da Amazon VPC. O plug-in CNI da VPC pode usar os endereços IP disponíveis em cada sub-rede para escolher as sub-redes com a maior quantidade de endereços IP disponíveis para usar ao criar uma interface de rede elástica.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKS_CNI_Policy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSClusterPolicy
Você pode anexar AmazonEKSClusterPolicy às entidades do IAM. Antes de criar um cluster, é necessário ter um perfil do IAM de cluster com essa política anexada. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas para outros serviços da AWS em seu nome. Eles fazem isso para gerenciar os recursos que você usa com o serviço do.
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
autoscaling– Leia e atualize a configuração de um grupo do Auto Scaling. Essas permissões não são usadas pelo Amazon EKS, mas permanecem na política para compatibilidade com versões anteriores. -
ec2– Trabalhe com volumes e recursos de rede associados aos nós do Amazon EC2. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa unir instâncias a um cluster e provisionar e gerenciar dinamicamente os volumes do Amazon EBS solicitados por volumes persistentes do Kubernetes. -
elasticloadbalancing– Trabalhe com o Elastic Load Balancers e adicione nós a eles como destinos. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa provisionar dinamicamente os Elastic Load Balancers solicitados por serviços do Kubernetes. -
iam– Crie uma função vinculada a serviço. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa provisionar dinamicamente os Elastic Load Balancers que são solicitados por serviços do Kubernetes. -
kms– Leia uma chave de AWS KMS. Isso é necessário para que o ambiente de gerenciamento do Kubernetes seja compatível com a criptografia de segredodos segredos do Kubernetes armazenados em etcd.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSClusterPolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSFargatePodExecutionRolePolicy
Você pode anexar AmazonEKSFargatePodExecutionRolePolicy às entidades do IAM. Antes de criar um perfil do Fargate, você deverá criar uma função de execução de Pod do Fargate e anexar essa política a ela. Para ter mais informações, consulte Etapa 2: criar um perfil de execução de Pod do Fargate e Defina quais Pods usarão o AWS Fargate quando em execução.
Essa política concede à função as permissões que fornecem acesso a outros recursos de serviço do AWS necessários para executar Pods do Amazon EKS no Fargate.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ecr: permite que pods em execução no Fargate extraiam imagens de contêiner armazenadas no Amazon ECR.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSFargatePodExecutionRolePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSForFargateServiceRolePolicy
Não é possível anexar AmazonEKSForFargateServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para obter mais informações, consulte AWSServiceRoleforAmazonEKSForFargate.
Esta política concede permissões necessárias ao Amazon EKS para executar tarefas do Fargate. A política só é usada se você tiver nós Fargate.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ec2–Crie e exclua interfaces de rede elástica e descreva os recursos e interfaces de rede elástica. Isso é necessário para que o serviço Amazon EKS Fargate possa configurar a rede VPC necessária para Fargate Pods.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSForFargateServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSServicePolicy
Você pode anexar AmazonEKSServicePolicy às entidades do IAM. Os clusters criados antes de 16 de abril de 2020 exigiam que você criasse uma função do IAM e associasse essa política à ela. Os clusters criados em ou após 16 de abril de 2020 não exigem que você crie uma função, nem que você atribua essa política. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão da iam:CreateServiceLinkedRole, a função vinculada ao serviço do AWSServiceRoleforAmazonEKS é recriada automaticamente para você. A função vinculada ao serviço tem oPolítica gerenciada da AWS: AmazonEKSServiceRolePolicyAnexado a ele.
Essa política permite que o Amazon EKS crie e gerencie os recursos necessários para operar clusters do Amazon EKS.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
eks: atualizar a versão do Kubernetes do cluster depois que você iniciar uma atualização. Essa permissão não é usada pelo Amazon EKS, mas permanece na política para compatibilidade com versões anteriores. -
ec2– Trabalhe com interfaces de rede elástica e outros recursos e etiquetas de rede. Isso é exigido pelo Amazon EKS para configurar redes que facilitem a comunicação entre nós e o ambiente de gerenciamento do Kubernetes. -
route53– Associe uma VPC a uma zona hospedada. Isso é exigido pelo Amazon EKS para habilitar a rede privada de endpoint para o servidor de API de cluster do Kubernetes. -
logs- Eventos de log Isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch. -
iam– Crie uma função vinculada a serviço. Isso é necessário para que o Amazon EKS crie a função vinculada ao serviço AWSServiceRoleForAmazonEKS em seu nome.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSServicePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSServiceRolePolicy
Não é possível anexar AmazonEKSServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço para o Amazon EKS. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão da iam:CreateServiceLinkedRole, a função vinculada ao serviço do AWSServiceRoleforAmazonEKS é recriada automaticamente para você e essa política é anexada a ela.
Esta política permite que a função vinculada ao serviço chame serviços da AWS da em seu nome.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ec2: crie e descreva as interfaces de rede elástica e as instâncias do Amazon EC2, o grupo de segurança de cluster e VPC que são necessários para a criação de um cluster. -
iam– Lista todas as políticas gerenciadas anexadas a uma função do IAM. Isso é necessário para que o Amazon EKS possa listar e validar todas as políticas gerenciadas e permissões necessárias para criar um cluster. -
Associar uma VPC a uma zona hospedada: isso é necessário para que o Amazon EKS habilite a rede privada de endpoint para o servidor de API de cluster do Kubernetes.
-
Registrar evento em log: isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSVPCResourceController
É possível anexar a política AmazonEKSVPCResourceController a suas identidades do IAM. Se você estiver usando grupos de segurança para Pods, anexe essa política ao Função do IAM do cluster do Amazon EKS para que ele realize ações em seu nome.
Esta política concede à função de cluster permissões para gerenciar interfaces de rede elástica e endereços IP para nós.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ec2: gerenciar interfaces de rede elástica e endereços IP para compatibilidade com grupos de segurança de Pod e nós do Windows.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSVPCResourceController no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEKSWorkerNodePolicy
Você pode anexar a AmazonEKSWorkerNodePolicy às suas entidades do IAM. É preciso anexar essa política a um perfil do IAM do nó que você especifica ao criar nós do Amazon EC2 que permitem ao Amazon EKS realizar ações em seu nome. Se você criar um grupo de nós usandoeksctl, ele cria a função do nó do IAM e anexa essa política à função automaticamente.
Esta política concede aos nós Amazon EKS Amazon EC2 permissões para se conectar a clusters do Amazon EKS.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ec2– Leia o volume da instância e as informações de rede. Isso é necessário para que os nós do Kubernetes possam descrever informações sobre os recursos do Amazon EC2 necessários para que o nó faça parte do cluster do Amazon EKS. -
eks: opcionalmente, descreva o cluster como parte do bootstrapping do nó. -
eks-auth:AssumeRoleForPodIdentity: permita a recuperação de credenciais para workloads do EKS no nó. Essa API é necessária para o EKS Pod Identity funcionar corretamente.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSWorkerNodePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada pela AWS: AmazonEksWorkerNodeMinimalPolicy
Você pode anexar a AmazonEKSWorkerNodeMinimalPolicy às suas entidades do IAM. É possível anexar essa política a um perfil do IAM do nó que você especifica ao criar nós do Amazon EC2 que permitem ao Amazon EKS realizar ações em seu nome.
Esta política concede aos nós Amazon EKS Amazon EC2 permissões para se conectar a clusters do Amazon EKS. Essa política tem menos permissões em comparação com a AmazonEKSWorkerNodePolicy.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
eks-auth:AssumeRoleForPodIdentity: permita a recuperação de credenciais para workloads do EKS no nó. Essa API é necessária para o EKS Pod Identity funcionar corretamente.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSWorkerNodePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AWSServiceRoleForAmazonEKSNodegroup
Não é possível anexar AWSServiceRoleForAmazonEKSNodegroup às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço para o Amazon EKS.
Esta política concede oAWSServiceRoleForAmazonEKSNodegrouppermissões de função que permitem que ele crie e gerencie grupos de nós do Amazon EC2 em sua conta.
Detalhes da permissão
Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.
-
ec2: trabalhe com grupos de segurança, tags, reservas de capacidade e modelos de execução. Isso é necessário para grupos de nós gerenciados pelo Amazon EKS a fim de habilitar a configuração de acesso remoto e descrever reservas de capacidade que podem ser usadas em grupos de nós gerenciados. Além disso, os grupos de nós gerenciados do Amazon EKS criam um modelo de execução em seu nome. Isso serve para configurar o grupo do Amazon EC2 Auto Scaling que oferece suporte a cada grupo de nós gerenciados. -
iam– Crie uma função vinculada a serviço e transmita uma função. Isso é exigido pelos grupos de nós gerenciados do Amazon EKS para gerenciar perfis de instância para a função que está sendo passada ao criar um grupo de nós gerenciados. Esse perfil de instância é usado pelas instâncias do Amazon EC2 executadas como parte de um grupo de nós gerenciados. O Amazon EKS precisa criar funções vinculadas ao serviço para outros serviços, como os grupos do Amazon EC2 Auto Scaling. Essas permissões são usadas na criação de um grupo de nós gerenciados -
autoscaling– Trabalhe com grupos de Auto Scaling de segurança. Isso é exigido pelos grupos de nós gerenciados do Amazon EKS para gerenciar o grupo do Amazon EC2 Auto Scaling que apoia cada grupo de nós gerenciados. Ele também é usado para compatibilidade com as funcionalidades, como remover Pods quando os nós são encerrados ou reciclados durante atualizações de grupo de nós.
Para visualizar a versão mais recente do documento de política JSON, consulte AWSServiceRoleForAmazonEKSNodegroup no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEBSCSIDriverPolicy
A política AmazonEBSCSIDriverPolicy permite que o driver da Container Storage Interface (CSI) do Amazon EBS crie, modifique, anexe, desconecte e exclua volumes em seu nome. Ela também concede permissões ao driver EBS CSI para criar e excluir snapshots e listar suas instâncias, volumes e snapshots.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEBSCSIDriverServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada da AWS: AmazonEFSCSIDriverPolicy
A política AmazonEFSCSIDriverPolicy permite que a Container Storage Interface (CSI) do Amazon EFS crie e exclua pontos de acesso em seu nome. Ela também concede ao driver CSI do Amazon EFS permissões para listar os sistemas de arquivos, destinos de montagem e zonas de disponibilidade do Amazon EC2 dos seus pontos de acesso.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEFSCSIDriverServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada pela AWS: AmazonEKSLocalOutpostClusterPolicy
Essa política pode ser anexada a entidades do IAM. Antes de criar um cluster local, é necessário anexar essa política à função do cluster. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas para outros serviços da AWS em seu nome. Eles fazem isso para gerenciar os recursos que você usa com o serviço do.
A política AmazonEKSLocalOutpostClusterPolicy inclui as seguintes permissões:
-
ec2: permissões necessárias para que as instâncias do Amazon EC2 se integrem com êxito ao cluster como instâncias do ambiente de gerenciamento. -
ssm: permite a conexão do Amazon EC2 Systems Manager com a instância do ambiente de gerenciamento, que é usada pelo Amazon EKS para se comunicar e gerenciar o cluster local na sua conta. -
logs: permite que as instâncias enviem logs para o Amazon CloudWatch. -
secretsmanager: permite que as instâncias obtenham e excluam dados de bootstrap para as instâncias do ambiente de gerenciamento com segurança no AWS Secrets Manager. -
ecr: permite que Pods e contêineres em execução nas instâncias do ambiente de gerenciamento extraiam imagens de contêiner armazenadas no Amazon Elastic Container Registry.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLocalOutpostClusterPolicy no Guia de referência de políticas gerenciadas da AWS.
Política gerenciada pela AWS: AmazonEKSLocalOutpostServiceRolePolicy
Não é possível anexar essa política a suas entidades do IAM. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão iam:CreateServiceLinkedRole, o Amazon EKS recria automaticamente a função vinculada ao serviço AWSServiceRoleforAmazonEKSLocalOutpost para você e anexa essa política a ela. Essa política permite que a função vinculada ao serviço chame produtos da AWS em seu nome para clusters locais.
A política AmazonEKSLocalOutpostServiceRolePolicy inclui as seguintes permissões:
-
ec2: permite que o Amazon EKS trabalhe com segurança, com a rede e com outros recursos para iniciar e gerenciar com êxito instâncias do ambiente de gerenciamento na sua conta. -
ssm: permite a conexão do Amazon EC2 Systems Manager com a instância do ambiente de gerenciamento, que é usada pelo Amazon EKS para se comunicar e gerenciar o cluster local na sua conta. -
iam: permite que o Amazon EKS gerencie o perfil de instância associado às instâncias do ambiente de gerenciamento. -
secretsmanager: permite que o Amazon EKS coloque dados de bootstrap para as instâncias do ambiente de gerenciamento no AWS Secrets Manager para que ele possa ser referenciado com segurança durante o bootstrapping da instância. -
outposts: permite que o Amazon EKS obtenha informações do Outpost de sua conta para lançar com êxito um cluster local em um Outpost.
Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLocalOutpostServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.
Atualizações do Amazon EKS para políticas gerenciadas pela AWS
Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o Amazon EKS, desde que este serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon EKS.
| Alteração | Descrição | Data |
|---|---|---|
|
Apresentação de AmazonEKSWorkerNodeMinimalPolicy. |
A AWS apresentou o |
3 de outubro de 2024 |
|
Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup. |
Foram adicionadas as permissões |
21 de agosto de 2024 |
Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup. |
A permissão |
27 de junho de 2024 |
|
AmazonEKS_CNI_Policy: atualização para uma política existente |
O Amazon EKS adicionou novas permissões O plug-in CNI da VPC pode usar os endereços IP disponíveis em cada sub-rede para escolher as sub-redes com a maior quantidade de endereços IP disponíveis para usar ao criar uma interface de rede elástica. |
4 de março de 2024 |
|
AmazonEKSWorkerNodePolicy: atualização para uma política existente |
O Amazon EKS adicionou novas permissões para permitir EKS Pod Identities. O Amazon EKS Pod Identity Agent usa o perfil de nó. |
26 de novembro de 2023 |
|
Lançamento do AmazonEFSCSIDriverPolicy. |
A AWS apresentou o |
26 de julho de 2023 |
|
Permissões adicionadas para AmazonEKSClusterPolicy. |
A permissão |
7 de fevereiro de 2023 |
|
Condições da política atualizadas em Amazon BSCSIdriverPolicy. |
Foram removidas as condições de política inválidas com caracteres curingas no campo de chave |
17 de novembro de 2022 |
|
Adicionadas permissões a AmazonEKSLocalOutpostServiceRolePolicy. |
Adicionados |
24 de outubro de 2022 |
|
Atualize as permissões do Amazon Elastic Container Registry em AmazoneKSLocalOutpostClusterPolicy. |
Movida a ação |
20 de outubro de 2022 |
|
Permissões adicionadas à AmazonEKSLocalOutpostClusterPolicy. |
Adicionado o repositório do Amazon Elastic Container Registry |
31 de agosto de 2022 |
|
Apresentada a AmazonEKSLocalOutpostClusterPolicy. |
A AWS apresentou o |
24 de agosto de 2022 |
|
Apresentada a AmazonEKSLocalOutpostServiceRolePolicy. |
A AWS apresentou o |
23 de agosto de 2022 |
|
Introdução de AmazonEBSCSIDriverPolicy. |
A AWS apresentou o |
4 de abril de 2022 |
|
Adição de permissões a AmazonEKSWorkerNodePolicy. |
Adição de |
21 de março de 2022 |
|
Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup. |
A permissão |
13 de dezembro de 2021 |
|
Permissões adicionadas para AmazonEKSClusterPolicy. |
Permissões |
17 de junho de 2021 |
|
O Amazon EKS passou a monitorar as alterações. |
O Amazon EKS passou a controlar as alterações para as políticas gerenciadas da AWS. |
17 de junho de 2021 |
