Políticas gerenciadas da AWS para o Amazon Elastic Kubernetes Service - Amazon EKS
Política gerenciada da AWS: AmazonEKS_CNI_PolicyPolítica gerenciada da AWS: AmazonEKSClusterPolicyPolítica gerenciada da AWS: AmazonEKSFargatePodExecutionRolePolicyPolítica gerenciada da AWS: AmazonEKSForFargateServiceRolePolicyPolítica gerenciada pela AWS: AmazonEKSComputePolicyPolítica gerenciada da AWS: AmazonEKSNetworkingPolicyPolítica gerenciada pela AWS: AmazonEKSBlockStoragePolicyPolítica gerenciada pela AWS: AmazonEKSLoadBalancingPolicyPolítica gerenciada da AWS: AmazonEKSServicePolicyPolítica gerenciada da AWS: AmazonEKSServiceRolePolicyPolítica gerenciada da AWS: AmazonEKSVPCResourceControllerPolítica gerenciada da AWS: AmazonEKSWorkerNodePolicyPolítica gerenciada pela AWS: AmazonEksWorkerNodeMinimalPolicyPolítica gerenciada da AWS: AWSServiceRoleForAmazonEKSNodegroupPolítica gerenciada da AWS: AmazonEBSCSIDriverPolicyPolítica gerenciada da AWS: AmazonEFSCSIDriverPolicyPolítica gerenciada pela AWS: AmazonEKSLocalOutpostClusterPolicyPolítica gerenciada pela AWS: AmazonEKSLocalOutpostServiceRolePolicyAtualizações do Amazon EKS para políticas gerenciadas pela AWS

Ajudar a melhorar esta página

Quer contribuir para este guia do usuário? Escolha o link Editar esta página no GitHub, disponível no painel direito de cada página. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.

Políticas gerenciadas da AWS para o Amazon Elastic Kubernetes Service

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns e permitir a atribuição de permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para casos de uso específicos porque estão disponíveis para todos os clientes da AWS usarem. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Caso a AWS faça atualizações nas permissões estabelecidas em uma política gerenciada pela AWS, estas mudanças impactarão todas as identidades das entidades principais (usuários, grupos e funções) vinculadas à esta política. A AWS é mais propensa a atualizar uma política gerenciada pela AWS durante o lançamento de um novo serviço da AWS ou quando novas operações de API estiverem disponíveis para serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Política gerenciada da AWS: AmazonEKS_CNI_Policy

Você pode anexar a AmazonEKS_CNI_Policy às suas entidades do IAM. Antes de criar um grupo de nós do Amazon EC2, essa política deve ser anexada ao perfil do IAM do nó ou a um perfil do IAM usado especificamente pelo Amazon VPC CNI plugin for Kubernetes . Isso é para que ele possa realizar ações em seu nome. Recomendamos que você anexe a política a uma função que é usada apenas pelo plugin. Para ter mais informações, consulte Atribuir IPs a Pods com a CNI da Amazon VPC e Configurar o plug-in CNI da Amazon VPC para usar IRSA.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ec2:*NetworkInterface e ec2:*PrivateIpAddresses - Permite que o plug-in CNI do Amazon VPC execute ações como o provisionamento de interfaces de rede elásticas e endereços IP para que o Pods forneça rede para aplicações executados no Amazon EKS.

  • Ações de leitura do ec2: permite que o plug-in CNI da Amazon VPC execute ações, como a descrição de instâncias e de sub-redes, para visualizar a quantidade de endereços IP disponíveis nas sub-redes da Amazon VPC. O plug-in CNI da VPC pode usar os endereços IP disponíveis em cada sub-rede para escolher as sub-redes com a maior quantidade de endereços IP disponíveis para usar ao criar uma interface de rede elástica.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKS_CNI_Policy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSClusterPolicy

Você pode anexar AmazonEKSClusterPolicy às entidades do IAM. Antes de criar um cluster, é necessário ter um perfil do IAM de cluster com essa política anexada. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas para outros serviços da AWS em seu nome. Eles fazem isso para gerenciar os recursos que você usa com o serviço do.

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • autoscaling: leia e atualize a configuração de um grupo do Auto Scaling. Essas permissões não são usadas pelo Amazon EKS, mas permanecem na política para compatibilidade com versões anteriores.

  • ec2 : trabalhar com volumes e recursos de rede associados aos nós do Amazon EC2. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa unir instâncias a um cluster e provisionar e gerenciar dinamicamente os volumes do Amazon EBS solicitados por volumes persistentes do Kubernetes.

  • elasticloadbalancing : trabalhe com Elastic Load Balancers e adicionar nós a eles como alvos. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa provisionar dinamicamente os Elastic Load Balancers solicitados por serviços do Kubernetes.

  • iam: crie um perfil vinculado a serviço. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa provisionar dinamicamente os Elastic Load Balancers que são solicitados por serviços do Kubernetes.

  • kms : leia uma chave do AWS KMS. Isso é necessário para que o ambiente de gerenciamento do Kubernetes seja compatível com a criptografia de segredo dos segredos do Kubernetes armazenados em etcd.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSClusterPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSFargatePodExecutionRolePolicy

Você pode anexar AmazonEKSFargatePodExecutionRolePolicy às entidades do IAM. Antes de criar um perfil do Fargate, você deverá criar uma função de execução de Pod do Fargate e anexar essa política a ela. Para ter mais informações, consulte Etapa 2: criar um perfil de execução de Pod do Fargate e Defina quais Pods usam o AWS Fargate quando iniciado.

Essa política concede à função as permissões que fornecem acesso a outros recursos de serviço do AWS necessários para executar Pods do Amazon EKS no Fargate.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ecr: permite que pods em execução no Fargate extraiam imagens de contêiner armazenadas no Amazon ECR.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSFargatePodExecutionRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSForFargateServiceRolePolicy

Não é possível anexar AmazonEKSForFargateServiceRolePolicy às entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte AWSServiceRoleforAmazonEKSForFargate.

Esta política concede permissões necessárias ao Amazon EKS para executar tarefas do Fargate. A política só é usada se você tiver nós Fargate.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ec2: crie e exclua interfaces de rede elástica e descreva os recursos e interfaces de rede elástica. Isso é necessário para que o serviço Amazon EKS Fargate possa configurar a rede VPC necessária para Fargate Pods.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSForFargateServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AmazonEKSComputePolicy

Você pode anexar AmazonEKSComputePolicy às entidades do IAM. Você pode anexar essa política ao perfil do IAM do cluster para expandir os recursos que o EKS pode gerenciar na sua conta.

Essa política concede as permissões necessárias para o Amazon EKS criar e gerenciar instâncias do EC2 para o cluster do EKS, bem como as permissões do IAM necessárias para configurar o EC2.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • Permissões do ec2:

    • ec2:CreateFleet e ec2:RunInstances: permitem criar instâncias do EC2 e usar recursos específicos do EC2 (imagens, grupos de segurança, sub-redes) para nós do cluster do EKS.

    • ec2:CreateLaunchTemplate: permite criar modelos de execução do EC2 para nós de cluster do EKS.

    • A política também inclui condições para restringir o uso dessas permissões do EC2 a recursos com tags com o nome do cluster do EKS e outras tags relevantes.

    • ec2:CreateTags: permite adicionar tags aos recursos do EC2 criados pelas ações CreateFleet, RunInstances e CreateLaunchTemplate.

  • Permissões do iam:

    • iam:AddRoleToInstanceProfile: permite adicionar um perfil do IAM ao perfil de instância de computação do EKS.

    • iam:PassRole: permite passar os perfis do IAM necessários ao serviço do EC2.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSComputePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada da AWS: AmazonEKSNetworkingPolicy

Você pode anexar AmazonEKSNetworkingPolicy às entidades do IAM. Você pode anexar essa política ao perfil do IAM do cluster para expandir os recursos que o EKS pode gerenciar na sua conta.

Essa política foi projetada para conceder as permissões necessárias para o Amazon EKS criar e gerenciar interfaces de rede para o cluster do EKS, permitindo que o ambiente de gerenciamento e os nós de processamento se comuniquem e funcionem corretamente.

Detalhes das permissões

Essa política concede as seguintes permissões para permitir que o Amazon EKS gerencie interfaces de rede para o cluster:

  • ec2 Permissões de interface de rede:

    • ec2:CreateNetworkInterface: permite a criação de interfaces de rede do EC2.

    • A política inclui condições para restringir o uso dessa permissão a interfaces de rede marcadas com o nome do cluster do EKS e o nome do nó CNI do Kubernetes.

    • ec2:CreateTags: permite adicionar etiquetas às interfaces de rede criadas pela ação CreateNetworkInterface.

  • Permissões de gerenciamento de interface de rede do ec2:

    • ec2:AttachNetworkInterface, ec2:DetachNetworkInterface: permite anexar e desanexar interfaces de rede a instâncias do EC2.

    • ec2:UnassignPrivateIpAddresses, ec2:UnassignIpv6Addresses, ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses: permite gerenciar as atribuições de endereço IP das interfaces de rede.

    • Essas permissões são restritas às interfaces de rede marcadas com o nome do cluster do EKS.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSNetworkingPolicy no AWS Managed Policy Reference Guide.

Política gerenciada pela AWS: AmazonEKSBlockStoragePolicy

Você pode anexar AmazonEKSBlockStoragePolicy às entidades do IAM. Você pode anexar essa política ao perfil do IAM do cluster para expandir os recursos que o EKS pode gerenciar na sua conta.

Essa política concede as permissões necessárias para o Amazon EKS criar, gerenciar e manter volumes e snapshots do EC2 para o cluster EKS, permitindo que o ambiente de gerenciamento e os nós de processamento provisionem e usem armazenamento persistente conforme exigido pelas workloads do Kubernetes.

Detalhes das permissões

Essa política do IAM concede as permissões a seguir para permitir que o Amazon EKS gerencie volumes e snapshots do EC2:

  • Permissões de gerenciamento de volume do ec2:

    • ec2:AttachVolume, ec2:DetachVolume, ec2:ModifyVolume, ec2:EnableFastSnapshotRestores: permitem anexar, desanexar, modificar e habilitar restaurações rápidas de instantâneos para volumes do EC2.

    • Essas permissões são restritas aos volumes com tag do nome do cluster do EKS.

    • ec2:CreateTags: permite adicionar tags aos volumes e snapshots do EC2 criados pelas ações CreateVolume e CreateSnapshot.

  • Permissões de criação de volume do ec2:

    • ec2:CreateVolume: permite criar novos volumes do EC2.

    • A política inclui condições para restringir o uso dessa permissão a volumes com tags com o nome do cluster do EKS e outras tags relevantes.

    • ec2:CreateSnapshot: permite criar novos snapshots de volumes do EC2.

    • A política inclui condições para restringir o uso dessa permissão a snapshots com tags com o nome do cluster do EKS e outras tags relevantes.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSBlockStoragePolicy no Guia de referência de políticas gerenciadas pela AWS.

Política gerenciada pela AWS: AmazonEKSLoadBalancingPolicy

Você pode anexar AmazonEKSLoadBalancingPolicy às entidades do IAM. Você pode anexar essa política ao perfil do IAM do cluster para expandir os recursos que o EKS pode gerenciar na sua conta.

Essa política do IAM concede as permissões necessárias para que o Amazon EKS trabalhe com vários serviços da AWS para gerenciar o Elastic Load Balancing (ELB) e recursos relacionados.

Detalhes das permissões

As principais permissões concedidas por essa política são:

  • elasticloadbalancing: permite criar, modificar e gerenciar balanceadores de carga elásticos e grupos de destino. Isso inclui permissões para criar, atualizar e excluir balanceadores de carga, grupos de destino, receptores e regras.

  • ec2: permite criar e gerenciar grupos de segurança, necessários para que o ambiente de gerenciamento do Kubernetes possa unir instâncias a um cluster e gerenciar os volumes do Amazon EBS. Além disso, possibilita descrever e listar recursos do EC2, como instâncias, VPCs, sub-redes, grupos de segurança e outros recursos de rede.

  • iam: permite criar um perfil vinculado a serviço para o Elastic Load Balancing, que é necessário para que o ambiente de gerenciamento do Kubernetes provisione ELBs dinamicamente.

  • kms: permite a leitura de uma chave do AWS KMS, necessária para que o ambiente de gerenciamento do Kubernetes ofereça suporte à criptografia de segredos do Kubernetes armazenados no etcd.

  • wafv2 e shield: permitem associar e desassociar ACLs da Web e criar/excluir proteções do AWS Shield para os balanceadores de carga elásticos.

  • cognito-idp, acm e elasticloadbalancing: concede permissões para descrever clientes do grupo de usuários, listar e descrever certificados e descrever grupos de destino, que são necessários para que o ambiente de gerenciamento do Kubernetes gerencie os balanceadores de carga elásticos.

A política também inclui várias verificações de condição para garantir que as permissões tenham como escopo o cluster do EKS específico que está sendo gerenciado, usando a tag eks:eks-cluster-name.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLoadBalancingPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSServicePolicy

Você pode anexar AmazonEKSServicePolicy às entidades do IAM. Os clusters criados antes de 16 de abril de 2020 exigiam que você criasse uma função do IAM e associasse essa política à ela. Os clusters criados em ou após 16 de abril de 2020 não exigem que você crie uma função, nem que você atribua essa política. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão iam:CreateServiceLinkedRole, o perfil vinculado a serviço AWSServiceRoleforAmazonEKS é criado automaticamente para você. O perfil vinculada a serviço tem a política gerenciada: AmazonEKSServiceRolePolicy anexada a ela.

Essa política permite que o Amazon EKS crie e gerencie os recursos necessários para operar clusters do Amazon EKS.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • eks : atualize a versão Kubernetes do seu cluster depois de iniciar uma atualização. Essa permissão não é usada pelo Amazon EKS, mas permanece na política para compatibilidade com versões anteriores.

  • ec2 : trabalhe com Elastic Network Interfaces e outros recursos e tags de rede. Isso é exigido pelo Amazon EKS para configurar redes que facilitem a comunicação entre nós e o ambiente de gerenciamento do Kubernetes. Leia informações sobre grupos de segurança. Atualize etiquetas em grupos de segurança.

  • route53: associe uma VPC a uma zona hospedada. Isso é exigido pelo Amazon EKS para habilitar a rede privada de endpoint para o servidor de API de cluster do Kubernetes.

  • logs : eventos de log. Isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch.

  • iam: crie um perfil vinculado a serviço. Isso é necessário para que o Amazon EKS crie a função vinculada ao serviço Permissões de função vinculada ao serviço para o Amazon EKS em seu nome.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSServicePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSServiceRolePolicy

Não é possível anexar AmazonEKSServiceRolePolicy às entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço para o Amazon EKS. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão iam:CreateServiceLinkedRole, o perfil vinculado a serviço AWSServiceRoleforAmazonEKS é criado automaticamente para você e essa política é anexada a ele.

Esta política permite que a função vinculada ao serviço chame serviços da AWS da em seu nome.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ec2: crie e descreva as interfaces de rede elástica e as instâncias do Amazon EC2, o grupo de segurança de cluster e VPC que são necessários para a criação de um cluster. Para ter mais informações, consulte Exibir os requisitos para grupos de segurança do Amazon EKS em clusters. Leia informações sobre grupos de segurança. Atualize etiquetas em grupos de segurança.

  • iam : liste todas as políticas gerenciadas anexadas a um perfil do IAM. Isso é necessário para que o Amazon EKS possa listar e validar todas as políticas gerenciadas e permissões necessárias para criar um cluster.

  • Associar uma VPC a uma zona hospedada: isso é necessário para que o Amazon EKS habilite a rede privada de endpoint para o servidor de API de cluster do Kubernetes.

  • Registrar evento em log: isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch.

  • Inserir métrica: isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch.

  • eks: gerencia entradas e políticas de acesso ao cluster, permitindo um controle refinado sobre quem pode acessar os recursos do EKS e quais ações eles podem realizar. Isso inclui a associação de políticas de acesso padrão para operações de computação, rede, balanceamento de carga e armazenamento.

  • elasticloadbalancing: cria, gerencia e exclui balanceadores de carga e seus componentes (receptores, grupos de destino, certificados) associados aos clusters do EKS. Visualiza os atributos e o status de integridade do balanceador de carga.

  • events: cria e gerencia as regras do EventBridge para monitorar eventos do EC2 e do AWS Health relacionados aos clusters do EKS, permitindo respostas automatizadas às mudanças na infraestrutura e alertas de saúde.

  • iam: gerencia perfis de instância do EC2 com o prefixo "eks", incluindo a criação, exclusão e associação de perfis, o que é necessário para o gerenciamento de nós do EKS.

  • pricing e shield: acessa as informações de preços da AWS e o status da proteção do Shield, permitindo o gerenciamento de custos e recursos avançados de segurança para os recursos do EKS.

  • Limpeza de recursos: exclui com segurança recursos marcados com tag do EKS, incluindo volumes, instantâneos, modelos de lançamento e interfaces de rede durante as operações de limpeza do cluster.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSVPCResourceController

É possível anexar a política AmazonEKSVPCResourceController às identidades do IAM. Se estiver usando grupos de segurança para Pods, você deverá anexar essa política à perfil IAM do cluster do Amazon EKS para executar ações em seu nome.

Esta política concede à função de cluster permissões para gerenciar interfaces de rede elástica e endereços IP para nós.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ec2 - Gerencie as interfaces de rede elásticas e os endereços IP para dar suporte aos grupos de segurança Pod e aos nós Windows.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSVPCResourceController no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSWorkerNodePolicy

Você pode anexar a AmazonEKSWorkerNodePolicy às suas entidades do IAM. É preciso anexar essa política a um perfil do IAM do nó que você especifica ao criar nós do Amazon EC2 que permitem ao Amazon EKS realizar ações em seu nome. Se você criar um grupo de nós usandoeksctl, ele cria a função do nó do IAM e anexa essa política à função automaticamente.

Esta política concede aos nós Amazon EKS Amazon EC2 permissões para se conectar a clusters do Amazon EKS.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ec2 : leia o volume da instância e as informações de rede. Isso é necessário para que os nós do Kubernetes possam descrever informações sobre os recursos do Amazon EC2 necessários para que o nó faça parte do cluster do Amazon EKS.

  • eks : opcionalmente, descreva o cluster como parte do bootstrapping do nó.

  • eks-auth:AssumeRoleForPodIdentity: permita a recuperação de credenciais para workloads do EKS no nó. Essa API é necessária para o EKS Pod Identity funcionar corretamente.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSWorkerNodePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AmazonEksWorkerNodeMinimalPolicy

Você pode anexar o AmazonEKSWorkerNodeMinimalPolicy às suas entidades IAM. É possível anexar essa política a um perfil do IAM do nó que você especifica ao criar nós do Amazon EC2 que permitem ao Amazon EKS realizar ações em seu nome.

Esta política concede aos nós Amazon EKS Amazon EC2 permissões para se conectar a clusters do Amazon EKS. Essa política tem menos permissões em comparação com a AmazonEKSWorkerNodePolicy.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • eks-auth:AssumeRoleForPodIdentity: permita a recuperação de credenciais para workloads do EKS no nó. Essa API é necessária para o EKS Pod Identity funcionar corretamente.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSWorkerNodePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSServiceRoleForAmazonEKSNodegroup

Não é possível anexar AWSServiceRoleForAmazonEKSNodegroup às entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço para o Amazon EKS.

Esta política concede oAWSServiceRoleForAmazonEKSNodegrouppermissões de função que permitem que ele crie e gerencie grupos de nós do Amazon EC2 em sua conta.

Detalhes das permissões

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

  • ec2 : trabalhe com grupos de segurança, tags, reservas de capacidade e modelos de lançamento. Isso é necessário para grupos de nós gerenciados pelo Amazon EKS a fim de habilitar a configuração de acesso remoto e descrever reservas de capacidade que podem ser usadas em grupos de nós gerenciados. Além disso, os grupos de nós gerenciados do Amazon EKS criam um modelo de execução em seu nome. Isso serve para configurar o grupo do Amazon EC2 Auto Scaling que oferece suporte a cada grupo de nós gerenciados.

  • iam: crie um perfil vinculado a serviço e transmita um perfil. Isso é exigido pelos grupos de nós gerenciados do Amazon EKS para gerenciar perfis de instância para a função que está sendo passada ao criar um grupo de nós gerenciados. Esse perfil de instância é usado pelas instâncias do Amazon EC2 executadas como parte de um grupo de nós gerenciados. O Amazon EKS precisa criar funções vinculadas ao serviço para outros serviços, como os grupos do Amazon EC2 Auto Scaling. Essas permissões são usadas na criação de um grupo de nós gerenciados

  • autoscaling : trabalhe com grupos de segurança Auto Scaling. Isso é exigido pelos grupos de nós gerenciados do Amazon EKS para gerenciar o grupo do Amazon EC2 Auto Scaling que apoia cada grupo de nós gerenciados. Ele também é usado para compatibilidade com as funcionalidades, como remover Pods quando os nós são encerrados ou reciclados durante atualizações de grupo de nós.

Para visualizar a versão mais recente do documento de política JSON, consulte AWSServiceRoleForAmazonEKSNodegroup no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEBSCSIDriverPolicy

A política AmazonEBSCSIDriverPolicy permite que o driver da Container Storage Interface (CSI) do Amazon EBS crie, modifique, anexe, desconecte e exclua volumes em seu nome. Isso inclui a modificação de etiquetas em volumes existentes e a habilitação da restauração rápida de snapshot (FSR) em volumes do EBS. Além disso, concede permissões ao driver da CSI do EBS para criar, restaurar e excluir snapshots, bem como listar as instâncias, os volumes e os snapshots.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEBSCSIDriverServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEFSCSIDriverPolicy

A política AmazonEFSCSIDriverPolicy permite que a Container Storage Interface (CSI) do Amazon EFS crie e exclua pontos de acesso em seu nome. Ela também concede ao driver CSI do Amazon EFS permissões para listar os sistemas de arquivos, destinos de montagem e zonas de disponibilidade do Amazon EC2 dos seus pontos de acesso.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEFSCSIDriverServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AmazonEKSLocalOutpostClusterPolicy

Essa política pode ser anexada a entidades do IAM. Antes de criar um cluster local, é necessário anexar essa política à função do cluster. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas para outros serviços da AWS em seu nome. Eles fazem isso para gerenciar os recursos que você usa com o serviço do.

A política AmazonEKSLocalOutpostClusterPolicy inclui as seguintes permissões:

  • Ações de leitura do ec2: permite que as instâncias do ambiente de gerenciamento descrevam as propriedades da zona de disponibilidade, da tabela de rotas, da instância e da interface de rede. Permissões necessárias para que as instâncias do Amazon EC2 ingressem com êxito no cluster como instâncias do ambiente de gerenciamento.

  • ssm: permite a conexão do Amazon EC2 Systems Manager com a instância do ambiente de gerenciamento, que é usada pelo Amazon EKS para se comunicar e gerenciar o cluster local na sua conta.

  • logs: permite que as instâncias enviem logs para o Amazon CloudWatch.

  • secretsmanager: permite que as instâncias obtenham e excluam dados de bootstrap para as instâncias do ambiente de gerenciamento com segurança no AWS Secrets Manager .

  • ecr: permite que Pods e contêineres em execução nas instâncias do ambiente de gerenciamento extraiam imagens de contêiner armazenadas no Amazon Elastic Container Registry.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLocalOutpostClusterPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AmazonEKSLocalOutpostServiceRolePolicy

Não é possível anexar essa política a suas entidades do IAM. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão iam:CreateServiceLinkedRole, o Amazon EKS cria automaticamente o perfil vinculado a serviço AWSServiceRoleforAmazonEKS para você e essa política é anexada a ele. Essa política permite que a função vinculada ao serviço chame produtos da AWS em seu nome para clusters locais.

A política AmazonEKSLocalOutpostServiceRolePolicy inclui as seguintes permissões:

  • ec2: permite que o Amazon EKS trabalhe com segurança, com a rede e com outros recursos para iniciar e gerenciar com êxito instâncias do ambiente de gerenciamento na sua conta.

  • ssm: permite a conexão do Amazon EC2 Systems Manager com a instância do ambiente de gerenciamento, que é usada pelo Amazon EKS para se comunicar e gerenciar o cluster local na sua conta.

  • iam: permite que o Amazon EKS gerencie o perfil de instância associado às instâncias do ambiente de gerenciamento.

  • secretsmanager : permite que o Amazon EKS coloque dados de bootstrap para as instâncias do ambiente de gerenciamento no AWS Secrets Manager para que ele possa ser referenciado com segurança durante o bootstrapping da instância.

  • outposts: permite que o Amazon EKS obtenha informações do Outpost de sua conta para lançar com êxito um cluster local em um Outpost.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLocalOutpostServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Atualizações do Amazon EKS para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o Amazon EKS, desde que este serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon EKS.

Alteração Descrição Data

Permissões foram adicionadas à AmazonEBSCSIDriverPolicy.

Foi adicionada uma nova declaração autorizando o driver da CSI do EBS a restaurar todos os snapshots. Anteriormente, isso era permitido pela política existente, mas uma nova declaração explícita se faz necessária devido a uma alteração no gerenciamento do IAM para CreateVolume.

Foi adicionada a capacidade para o driver da CSI do EBS modificar etiquetas em volumes existentes. O driver da CSI do EBS pode modificar as etiquetas de volumes existentes por meio de parâmetros em VolumeAttributesClass do Kubernetes.

Foi adicionada a capacidade para o driver da CSI do EBS habilitar a restauração rápida de snapshot (FSR) em volumes do EBS. O driver da CSI do EBS pode habilitar a FSR em novos volumes por meio de parâmetros em StorageClass do Kubernetes.

13 de janeiro de 2025

Foram adicionadas permissões a Política gerenciada pela AWS: AmazonEKSLoadBalancingPolicy.

A política AmazonEKSLoadBalancingPolicy foi atualizada para possibilitar a listagem e descrição de recursos de rede e endereços IP.

26 de dezembro de 2024

Foram adicionadas permissões a Política gerenciada da AWS: AWSServiceRoleForAmazonEKSNodegroup.

Foi atualizado o AWSServiceRoleForAmazonEKSNodegroup para compatibilidade com as regiões da China.

22 de novembro de 2024

Adicionou permissões a Política gerenciada pela AWS: AmazonEKSLocalOutpostClusterPolicy

Foi adicionada a permissão ec2:DescribeAvailabilityZones a AmazonEKSLocalOutpostClusterPolicy para que o AWS Cloud Controller Manager no ambiente de gerenciamento do cluster possa identificar a zona de disponibilidade em que cada nó está.

21 de novembro de 2024

Foram adicionadas permissões a Política gerenciada da AWS: AWSServiceRoleForAmazonEKSNodegroup.

Foi atualizada a política AWSServiceRoleForAmazonEKSNodegroup para permitir ec2:RebootInstances para instâncias criadas por grupos de nós gerenciados pelo Amazon EKS. Foram restringidas as permissões ec2:CreateTags para recursos do Amazon EC2.

20 de novembro de 2024

Foram adicionadas permissões a Política gerenciada da AWS: AmazonEKSServiceRolePolicy.

O EKS atualizou a política gerenciada AmazonEKSServiceRolePolicy da AWS. Foram adicionadas permissões para políticas de acesso ao EKS, gerenciamento de balanceador de carga e limpeza automatizada de recursos de cluster.

16 de novembro de 2024

Introduzido em Política gerenciada pela AWS: AmazonEKSComputePolicy.

O EKS atualizou a política gerenciada AmazonEKSComputePolicy da AWS. Foram atualizadas as permissões de recurso para a ação iam:AddRoleToInstanceProfile.

7 de novembro de 2024

Introduzido em Política gerenciada pela AWS: AmazonEKSComputePolicy.

A AWS apresentou o AmazonEKSComputePolicy.

1.º de novembro de 2024

Adicionou permissões a AmazonEKSClusterPolicy

Foi adicionada a permissão ec2:DescribeInstanceTopology para permitir que o Amazon EKS anexe informações de topologia ao nó como rótulos.

1.º de novembro de 2024

Introduzido em Política gerenciada pela AWS: AmazonEKSBlockStoragePolicy.

A AWS apresentou o AmazonEKSBlockStoragePolicy.

30 de outubro de 2024

Introduzido em Política gerenciada pela AWS: AmazonEKSLoadBalancingPolicy.

A AWS apresentou o AmazonEKSLoadBalancingPolicy.

30 de outubro de 2024

Foram adicionadas permissões ao AmazonEKSServiceRolePolicy.

Foram adicionadas permissões cloudwatch:PutMetricData para permitir que o Amazon EKS publique métricas no Amazon CloudWatch.

29 de outubro de 2024

Introduzido em Política gerenciada da AWS: AmazonEKSNetworkingPolicy.

A AWS apresentou o AmazonEKSNetworkingPolicy.

28 de outubro de 2024

Foram adicionadas permissões para AmazonEKSServicePolicy e AmazonEKSServiceRolePolicy

Adição de ec2:GetSecurityGroupsForVpc e permissões de etiqueta associadas para permitir que o EKS leia as informações do grupo de segurança e atualize as etiquetas relacionadas.

10 de outubro de 2024

Apresentação de AmazonEKSWorkerNodeMinimalPolicy.

A AWS apresentou o AmazonEKSWorkerNodeMinimalPolicy.

3 de outubro de 2024

Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup.

Foram adicionadas as permissões autoscaling:ResumeProcesses e autoscaling:SuspendProcesses para permitir que o Amazon EKS suspenda e retome o AZRebalance em grupos do Auto Scaling gerenciados pelo Amazon EKS.

21 de agosto de 2024

Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup.

A permissão ec2:DescribeCapacityReservations foi adicionada para que o Amazon EKS possa descrever a reserva de capacidade na conta do usuário. A permissão autoscaling:PutScheduledUpdateGroupAction foi adicionada para permitir a configuração da escalabilidade programada em grupos de nós CAPACITY_BLOCK.

27 de junho de 2024

AmazonEKS_CNI_Policy: atualização para uma política existente

O Amazon EKS adicionou novas permissões ec2:DescribeSubnets para permitir que o Amazon VPC CNI plugin for Kubernetes veja a quantidade de endereços IP disponíveis em suas sub-redes da Amazon VPC. O plug-in CNI da VPC pode usar os endereços IP disponíveis em cada sub-rede para escolher as sub-redes com a maior quantidade de endereços IP disponíveis para usar ao criar uma interface de rede elástica.

4 de março de 2024

AmazonEKSWorkerNodePolicy: atualização para uma política existente

O Amazon EKS adicionou novas permissões para permitir EKS Pod Identities. O Amazon EKS Pod Identity Agent usa o perfil de nó.

26 de novembro de 2023

Lançamento do AmazonEFSCSIDriverPolicy.

A AWS apresentou o AmazonEFSCSIDriverPolicy.

26 de julho de 2023

Permissões adicionadas para AmazonEKSClusterPolicy.

A permissão ec2:DescribeAvailabilityZones foi adicionada para permitir que o Amazon EKS obtenha os detalhes da AZ durante a descoberta automática de sub-redes ao criar balanceadores de carga.

7 de fevereiro de 2023

Condições da política atualizadas em Amazon BSCSIdriverPolicy.

Foram removidas as condições de política inválidas com caracteres curingas no campo de chave StringLike. Também foi adicionada uma nova condição ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" a ec2:DeleteVolume, que permite que o driver da CSI do EBS exclua volumes criados pelo plug-in em árvore.

17 de novembro de 2022

Adicionadas permissões a AmazonEKSLocalOutpostServiceRolePolicy.

Adicionados ec2:DescribeVPCAttribute, ec2:GetConsoleOutput e ec2:DescribeSecret para permitir melhor validação de pré-requisitos e controle gerenciado do ciclo de vida. Também foram adicionados ec2:DescribePlacementGroups e "arn:aws:ec2:*:*:placement-group/*" a ec2:RunInstances para permitir controle de colocação das instâncias do Amazon EC2 do ambiente de gerenciamento no Outposts.

24 de outubro de 2022

Atualize as permissões do Amazon Elastic Container Registry em AmazoneKSLocalOutpostClusterPolicy.

Movida a ação ecr:GetDownloadUrlForLayer de todas as seções de recurso para uma seção com escopo definido. Adicionado o recurso arn:aws:ecr:*:*:repository/eks/ . Removido o recurso arn:aws:ecr:. Esse recurso é coberto pelo recurso arn:aws:ecr:*:*:repository/eks/* adicionado.

20 de outubro de 2022

Permissões adicionadas à AmazonEKSLocalOutpostClusterPolicy.

Adicionado o repositório do Amazon Elastic Container Registry arn:aws:ecr:*:*:repository/kubelet-config-updater para que as instâncias do ambiente de gerenciamento do cluster possam atualizar alguns argumentos kubelet.

31 de agosto de 2022

Apresentada a AmazonEKSLocalOutpostClusterPolicy.

A AWS apresentou o AmazonEKSLocalOutpostClusterPolicy.

24 de agosto de 2022

Apresentada a AmazonEKSLocalOutpostServiceRolePolicy.

A AWS apresentou o AmazonEKSLocalOutpostServiceRolePolicy.

23 de agosto de 2022

Introdução de AmazonEBSCSIDriverPolicy.

A AWS apresentou o AmazonEBSCSIDriverPolicy.

4 de abril de 2022

Adição de permissões a AmazonEKSWorkerNodePolicy.

Adição de ec2:DescribeInstanceTypes para habilitar AMIs otimizadas para do Amazon EKS que podem detectar propriedades em nível de instâncias automaticamente.

21 de março de 2022

Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup.

A permissão autoscaling:EnableMetricsCollection foi adicionada para que o Amazon EKS possa habilitar a coleta de métricas.

13 de dezembro de 2021

Permissões adicionadas para AmazonEKSClusterPolicy.

Permissões ec2:DescribeAccountAttributes, ec2:DescribeAddresses e ec2:DescribeInternetGateways adicionadas para permitir que o Amazon EKS crie uma função vinculada ao serviço para um Network Load Balancer.

17 de junho de 2021

O Amazon EKS passou a monitorar as alterações.

O Amazon EKS passou a controlar as alterações para as políticas gerenciadas da AWS.

17 de junho de 2021