**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# Amazon Elastic Kubernetes Service 的AWS托管策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用案例授予最低权限,因为其可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS托管策略:AmazonEKS\_CNI\_Policy
您可以将 `AmazonEKS_CNI_Policy` 附加到 IAM 实体。在创建 Amazon EC2 节点组之前,此策略必须附加到[节点 IAM 角色](create-node-role.md),或适用于 Kubernetes 的 Amazon VPC CNI 插件专用的 IAM 角色。这样它可以代表您执行操作。我们建议您将策略附加到仅由插件使用的角色。有关更多信息,请参阅[使用 Amazon VPC CNI 将 IP 分配给容器组(pod)](managing-vpc-cni.md)和[配置 Amazon VPC CNI 插件以使用 IRSA](cni-iam-role.md)。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ **`ec2:*NetworkInterface` 和 `ec2:*PrivateIpAddresses`**:允许 Amazon VPC CNI 插件执行操作,例如为容器组(pod)预置弹性网络接口和 IP 地址,以便为 Amazon EKS 中运行的应用程序提供联网。
+ **`ec2` 读取操作** – 允许 Amazon VPC CNI 插件执行操作,例如描述实例和子网,以查看您的 Amazon VPC 子网中的免费 IP 地址数量。VPC CNI 可以使用每个子网中的免费 IP 地址来选择空闲 IP 地址最多的子网,以便在创建弹性网络接口时使用。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKS\_CNI\_Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html#AmazonEKS_CNI_Policy-json)。
## AWS托管策略:AmazonEKSClusterPolicy
您可以将 `AmazonEKSClusterPolicy` 附加到您的 IAM 实体。在创建集群之前,您必须拥有附加了此策略的[集群 IAM 角色](cluster-iam-role.md)。由 Amazon EKS 托管的 Kubernetes 集群会代表您调用其他 AWS 服务。它们这样做的目的是为了管理您与服务一起使用的资源。
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ **`autoscaling`** – 读取和更新自动扩缩组的配置。Amazon EKS 不使用这些权限,但它们保留在策略中,以确保向后兼容。
+ **`ec2`** – 使用与 Amazon EC2 节点关联的卷和网络资源执行工作。此为必需操作,以便 Kubernetes 控制面板可以将实例加入到集群,并动态预置和管理 Kubernetes 持久卷请求的 Amazon EBS 卷。
+ **`ec2`**:删除由 VPC CNI 创建的弹性网络接口。这是必需项,以便 EKS 可以清理 VPC CNI 意外退出时留下的弹性网络接口。
+ ** `elasticloadbalancing` **:使用弹性负载均衡器并将节点添加到其中作为目标。此为必需操作,以便 Kubernetes 控制层面能够动态预置 Kubernetes 服务请求的 Elastic Load Balancer。
+ ** `iam` **:创建服务相关角色。此为必需操作,以便 Kubernetes 控制面板能够动态预置 Kubernetes 服务请求的 Elastic Load Balancer。
+ **`kms`** – 从 AWS KMS 读取密钥。这对于 Kubernetes 控制面板是必需的,以支持 `etcd` 中存储的 Kubernetes 密钥的[密钥加密](https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/)。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html#AmazonEKSClusterPolicy-json)。
## AWS 托管策略:AmazonEKSDashboardConsoleReadOnly
您可以将 `AmazonEKSDashboardConsoleReadOnly` 附加到 IAM 实体。
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ **`eks`**:对 EKS 控制面板数据、资源和集群版本信息的只读访问权限。这允许查看与 EKS 相关的指标和集群配置详细信息。
+ **`organizations`**:对 AWS Organizations 信息的只读访问权限,包括:
+ 查看组织详细信息和服务访问权限
+ 列出组织根、账户和组织单位
+ 查看组织结构
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSDashboardConsoleReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardConsoleReadOnly.html#AmazonEKSDashboardConsoleReadOnly-json)。
## AWS托管策略:AmazonEKSFargatePodExecutionRolePolicy
您可以将 `AmazonEKSFargatePodExecutionRolePolicy` 附加到您的 IAM 实体。在创建 Fargate 配置文件之前,您必须创建 Fargate 容器组(pod)执行角色并将此策略附加到其上。有关更多信息,请参阅 [第 2 步:创建 Fargate 容器组(pod)执行角色](fargate-getting-started.md#fargate-sg-pod-execution-role) 和 [定义启动时将使用 AWS Fargate 的容器组(pod)](fargate-profile.md)。
此策略向该角色授予权限,可提供对必须在 Fargate 上运行 Amazon EKS 容器组(pod)的其他 AWS 服务资源的访问权限。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ ** `ecr` **:允许在 Fargate 上运行的容器组(pod)提取存储在 Amazon ECR 中的容器镜像。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSFargatePodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html#AmazonEKSFargatePodExecutionRolePolicy-json)。
## AWS 托管式策略:AmazonEKSConnectorServiceRolePolicy
您不能将 `AmazonEKSConnectorServiceRolePolicy` 附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 [使用角色将 Kubernetes 集群连接到 Amazon EKS](using-service-linked-roles-eks-connector.md)。
该角色允许 Amazon EKS 连接 Kubernetes 集群。附加的策略允许角色管理必要的资源,以便连接到注册的 Kubernetes 集群。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
+ ** `SSM Management` **:创建、描述和删除 SSM 激活,并取消注册托管实例。此功能允许基本的 Systems Manager 操作。
+ ** `Session Management` **:启动专门针对 EKS 集群的 SSM 会话,并使用 AmazonEKS 文档执行非交互式命令。
+ ** `IAM Role Passing` **:将 IAM 角色专门传递给 SSM 服务,该服务由将传递角色限制为 `ssm.amazonaws.com` 的条件控制。
+ ** `EventBridge Rules` **:创建 EventBridge 规则和目标,但仅当由 `eks-connector.amazonaws.com` 管理时。作为事件源,规则特别限于 AWS SSM。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSConnectorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSConnectorServiceRolePolicy.html)。
## AWS托管策略:AmazonEKSForFargateServiceRolePolicy
您不能将 `AmazonEKSForFargateServiceRolePolicy` 附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 `AWSServiceRoleforAmazonEKSForFargate`。
此策略授予 Amazon EKS 运行 Fargate 任务所必要的权限。仅当您具有 Fargate 节点时,才会使用此策略。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
+ ** `ec2` **:创建和删除弹性网络接口,并描述弹性网络接口和资源。此为必需操作,以便 Amazon EKS Fargate 服务可以配置 Fargate 容器组(pod)所需的 VPC 联网。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSForFargateServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSForFargateServiceRolePolicy.html#AmazonEKSForFargateServiceRolePolicy-json)。
## AWS 托管策略:AmazonEKSComputePolicy
您可以将 `AmazonEKSComputePolicy` 附加到 IAM 实体。您可以将此策略附加到您的[集群 IAM 角色](cluster-iam-role.md),以扩展 EKS 可以在您的账户中管理的资源。
该策略授予 Amazon EKS 为 EKS 集群创建和管理 EC2 实例所需的权限,以及配置 EC2 所需的 IAM 权限。此外,此策略还授予 Amazon EKS 代表您创建 EC2 竞价型实例服务相关角色的权限。
### 权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ ** `ec2` 权限**:
+ `ec2:CreateFleet` 和 `ec2:RunInstances` – 允许创建 EC2 实例,并将特定的 EC2 资源(映像、安全组、子网)用于 EKS 集群节点。
+ `ec2:CreateLaunchTemplate` – 允许为 EKS 集群节点创建 EC2 启动模板。
+ 该策略还包括一些条件,用于将这些 EC2 权限的使用限制在标有 EKS 集群名称和其他相关标签的资源。
+ `ec2:CreateTags` – 允许向 `CreateFleet`、`RunInstances` 和 `CreateLaunchTemplate` 操作创建的 EC2 资源添加标签。
+ ** `iam` 权限**:
+ `iam:AddRoleToInstanceProfile` – 允许向 EKS 计算实例配置文件添加 IAM 角色。
+ `iam:PassRole` – 允许将必要的 IAM 角色传递给 EC2 服务。
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSComputePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSComputePolicy.html#AmazonEKSComputePolicy-json)。
## AWS 托管策略:AmazonEKSNetworkingPolicy
您可以将 `AmazonEKSNetworkingPolicy` 附加到 IAM 实体。您可以将此策略附加到您的[集群 IAM 角色](cluster-iam-role.md),以扩展 EKS 可以在您的账户中管理的资源。
该策略旨在授予 Amazon EKS 创建和管理 EKS 集群网络接口的必要权限,从而允许控制面板和 Worker 节点正常通信和运行。
### 权限详细信息
此策略授予以下权限以允许 Amazon EKS 管理集群的网络接口:
+ **`ec2` 网络接口权限**:
+ `ec2:CreateNetworkInterface` – 允许创建 EC2 网络接口。
+ 该策略包括一些条件,用于将此权限的使用限制在标有 EKS 集群名称和 Kubernetes CNI 节点名称的网络接口。
+ `ec2:CreateTags` – 允许向 `CreateNetworkInterface` 操作创建的网络接口添加标签。
+ **`ec2` 网络接口管理权限**:
+ `ec2:AttachNetworkInterface`、`ec2:ModifyNetworkInterfaceAttribute`、`ec2:DetachNetworkInterface`–允许附加、修改网络接口属性以及从 EC2 实例分离网络接口。
+ `ec2:UnassignPrivateIpAddresses`、`ec2:UnassignIpv6Addresses`、`ec2:AssignPrivateIpAddresses`、`ec2:AssignIpv6Addresses` – 允许管理网络接口的 IP 地址分配。
+ 这些权限仅限于标有 EKS 集群名称的网络接口。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSNetworkingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSNetworkingPolicy.html#AmazonEKSNetworkingPolicy-json)。
## AWS 托管策略:AmazonEKSBlockStoragePolicy
您可以将 `AmazonEKSBlockStoragePolicy` 附加到 IAM 实体。您可以将此策略附加到您的[集群 IAM 角色](cluster-iam-role.md),以扩展 EKS 可以在您的账户中管理的资源。
该策略授予 Amazon EKS 为 EKS 集群创建、管理和维护 EC2 卷和快照的必要权限,从而允许控制面板和 Worker 节点按照 Kubernetes 工作负载的要求预置和使用永久存储。
### 权限详细信息
此 IAM 策略授予以下允许 Amazon EKS 管理 EC2 卷和快照的权限:
+ ** `ec2` 卷管理权限**:
+ `ec2:AttachVolume`、`ec2:DetachVolume`、`ec2:ModifyVolume`、`ec2:EnableFastSnapshotRestores` – 允许附加、分离、修改和启用 EC2 卷的快速快照还原。
+ 这些权限仅限于标有 EKS 集群名称的卷。
+ `ec2:CreateTags` – 允许向 `CreateVolume` 和 `CreateSnapshot` 操作创建的 EC2 卷和快照添加标签。
+ ** `ec2` 卷创建权限**:
+ `ec2:CreateVolume` – 允许创建新的 EC2 卷。
+ 该策略包括一些条件,用于将此项权限的使用限制在标有 EKS 集群名称和其他相关标签的卷。
+ `ec2:CreateSnapshot` – 允许创建新的 EC2 卷快照。
+ 该策略包括一些条件,用于将此项权限的使用限制在标有 EKS 集群名称和其他相关标签的快照。
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSBlockStoragePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSBlockStoragePolicy.html#AmazonEKSBlockStoragePolicy-json)。
## AWS 托管策略:AmazonEKSLoadBalancingPolicy
您可以将 `AmazonEKSLoadBalancingPolicy` 附加到 IAM 实体。您可以将此策略附加到您的[集群 IAM 角色](cluster-iam-role.md),以扩展 EKS 可以在您的账户中管理的资源。
此 IAM 策略授予 Amazon EKS 使用各种 AWS 服务管理弹性负载均衡器(ELB)和相关资源的必要权限。
### 权限详细信息
此策略授予的密钥权限是:
+ **`elasticloadbalancing` **:允许创建、修改和管理弹性负载均衡器和目标组。这包括创建、更新和删除负载均衡器、目标组、侦听器和规则的权限。
+ **`ec2` **:允许创建和管理 Kubernetes 控制面板将实例加入到集群并管理 Amazon EBS 卷所需的安全组。还允许描述和列出 EC2 资源,例如实例、VPC、子网、安全组和其他联网资源。
+ **`iam` **:允许为弹性负载均衡创建服务相关角色,这是 Kubernetes 控制面板动态预置 ELB 所必需的。
+ ** `kms` **:允许通过 AWS KMS 读取密钥,这对于 Kubernetes 控制面板是必需的,以支持 etcd 中存储的 Kubernetes 密钥的加密。
+ ** `wafv2` ** 和 ** `shield` **:允许关联和取消关联 Web ACL 以及为弹性负载均衡器创建/删除 AWS Shield 保护。
+ ** `cognito-idp` **、** `acm` ** 和 ** `elasticloadbalancing` **:授予描述用户池客户端、列出和描述证书以及描述目标群体的权限,这些权限是 Kubernetes 控制面板管理弹性负载均衡器所必需的。
该策略还包括多项条件检查,确保使用 `eks:eks-cluster-name` 标签将权限范围限于所托管的特定 EKS 集群。
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSLoadBalancingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLoadBalancingPolicy.html#AmazonEKSLoadBalancingPolicy-json)。
## AWS 托管式策略:AmazonEKSMCPReadOnlyAccess
您可以将 `AmazonEKSMCPReadOnlyAccess` 附加到 IAM 实体。此策略提供对 Amazon EKS 资源和相关 AWS 服务的只读访问权限,使 Amazon EKS 模型上下文协议(MCP)服务器无需对您的基础设施进行任何修改,即可执行可观测性和问题排查操作。
**权限详细信息**
此策略包含允许主体完成下列任务的以下权限:
+ ** `eks` ** 允许主体描述和列出 EKS 集群、节点组、附加组件、访问条目、见解以及访问 Kubernetes API 以执行只读操作。
+ ** `iam` ** 允许主体检索有关 IAM 角色、策略及其附件的信息,以了解与 EKS 资源关联的权限。
+ ** `ec2` ** 允许主体描述 VPC、子网和路由表,以了解 EKS 集群的网络配置。
+ ** `sts` ** 允许主体出于身份验证和授权目的检索呼叫方身份信息。
+ ** `logs` ** 允许主体启动查询并从 CloudWatch Logs 中检索查询结果以进行问题排查和监控。
+ ** `cloudwatch` ** 允许主体检索用于监控集群和工作负载性能的指标数据。
+ ** `eks-mcp` ** 允许主体在 Amazon EKS MCP 服务器中调用 MCP 操作和调用只读工具。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSMCPReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSMCPReadOnlyAccess.html)。
## AWS托管策略:AmazonEKSServicePolicy
您可以将 `AmazonEKSServicePolicy` 附加到 IAM 实体。在 2020 年 4 月 16 日之前创建的集群需要您创建 IAM 角色并向其附加此策略。在 2020 年 4 月 16 日或之后创建的集群无需您创建角色,也不需要您分配此策略。当您使用具有 `iam:CreateServiceLinkedRole` 权限的 IAM 主体创建集群时,将会自动为您创建 [AWSServiceRoleforAmazonEKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) 服务相关角色。服务相关角色附加了[托管策略:AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。
此策略允许 Amazon EKS 创建和管理运行 Amazon EKS 集群所需的资源。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
+ ** `eks` **:启动更新后,更新您集群的 Kubernetes 版本。Amazon EKS 不使用此权限,但其仍保留在策略中,以确保向后兼容。
+ ** `ec2` **:使用弹性网络接口和其它网络资源和标签。这是 Amazon EKS 配置联网以便于节点和 Kubernetes 控制层面之间进行通信所必需的。阅读有关安全组的信息。更新安全组上的标签。
+ ** `route53` **:将 VPC 与托管区域关联。这是 Amazon EKS 实现 Kubernetes 集群 API 服务器私有端点联网所必需的。
+ ** `logs` **:录入事件。此为必需操作,以便 Amazon EKS 可以将 Kubernetes 控制层面日志发送到 CloudWatch。
+ ** `iam` **:创建服务相关角色。此为必需操作,以便 Amazon EKS 可以代表您创建 [Amazon EKS 的服务相关角色权限](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) 服务相关角色。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html#AmazonEKSServicePolicy-json)。
## AWS托管策略:AmazonEKSServiceRolePolicy
您不能将 `AmazonEKSServiceRolePolicy` 附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 [Amazon EKS 的服务相关角色权限](using-service-linked-roles-eks.md#service-linked-role-permissions-eks)。当您使用具有 `iam:CreateServiceLinkedRole` 权限的 IAM 主体创建集群时,将会自动为您创建 [AWSServiceRoleforAmazonEKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) 服务相关角色,而且此策略会附加到该角色。
此策略允许服务相关角色代表您调用AWS服务。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
+ ** `ec2` **:创建和描述弹性网络接口和 Amazon EC2 实例、集群安全组及创建集群所需的 VPC。有关更多信息,请参阅 [查看集群的 Amazon EKS 安全组要求](sec-group-reqs.md)。阅读有关安全组的信息。更新安全组上的标签。阅读关于按需容量预留的信息。阅读包括路由表和网络 ACL 在内的 VPC 配置,以检测配置问题,这是集群见解的一部分。
+ **`ec2` 自动模式** – 终止由 EKS 自动模式创建的 EC2 实例。有关更多信息,请参阅 [使用 EKS 自动模式实现集群基础设施自动化](automode.md)。
+ ** `iam` **:列出附加到 IAM 角色的所有托管式策略。此为必需操作,以便 Amazon EKS 能够列出和验证创建集群所需的所有托管策略和权限。
+ **将 VPC 与托管区关联** – 这是 Amazon EKS 实现 Kubernetes 集群 API 服务器私有端点联网所必需的。
+ **日志事件** – 此为必需操作,以便 Amazon EKS 可以将 Kubernetes 控制面板日志发送到 CloudWatch。
+ **放入指标** – 此为必需操作,这样 Amazon EKS 就可以将 Kubernetes 控制面板日志发送到 CloudWatch。
+ ** `eks` **:管理集群访问条目和策略,允许精细控制可以访问 EKS 资源的主体以及其可执行的操作。这包括为计算、联网、负载均衡和存储操作关联标准访问策略。
+ ** `elasticloadbalancing` **:创建、管理和删除与 EKS 集群关联的负载均衡器及其组件(侦听器、目标组、证书)。查看负载均衡器属性和运行状态。
+ ** `events` ** – 创建并管理 EventBridge 规则,以便监控与 EKS 集群相关的 EC2 和 AWS Health 事件,实现对基础设施更改和运行状况警报的自动响应。
+ ** `iam` **:管理含“eks”前缀的 EC2 实例配置文件,包括创建、删除和角色关联,这是 EKS 节点管理所必需的。允许描述任何实例配置文件,以使用户能够为其 Worker 节点定义自定义实例配置文件以供使用。
+ ** `pricing` ** ** `shield` **:访问 AWS 定价信息和 Shield 保护状态,为 EKS 资源启用成本管理和高级安全功能。
+ **资源清理** – 在集群清理操作期间,安全删除带有 EKS 标签的资源,包括卷、快照、启动模板和网络接口。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServiceRolePolicy.html#AmazonEKSServiceRolePolicy-json)。
## AWS托管策略:AmazonEKSVPCResourceController
您可以将 `AmazonEKSVPCResourceController` 策略附加到 IAM 身份。如果您使用[适用于容器组(pod)的安全组](security-groups-for-pods.md),您必须将此策略附加到您的 [Amazon EKS 集群 IAM 角色](cluster-iam-role.md),以便其代表您执行操作。
此策略授予集群角色管理弹性网络接口和节点 IP 地址的权限。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ ** `ec2` **:管理弹性网络接口和 IP 地址以支持容器组(pod)安全组和 Windows 节点。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSVPCResourceController](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSVPCResourceController.html#AmazonEKSVPCResourceController-json)。
## AWS托管策略:AmazonEKSWorkerNodePolicy
您可以将 `AmazonEKSWorkerNodePolicy` 附加到 IAM 实体。您必须将此策略附加到您在创建允许 Amazon EKS 代表您执行操作的 Amazon EC2 节点时指定的[节点 IAM 角色](create-node-role.md)。如果您使用 `eksctl` 创建节点组,则其会创建节点 IAM 角色并自动将此策略附加到角色。
此策略授予 Amazon EKS Amazon EC2 节点连接到 Amazon EKS 集群的权限。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ ** `ec2` **:读取实例卷和网络信息。此为必需操作,以便 Kubernetes 节点能够描述有关节点加入 Amazon EKS 集群所需的 Amazon EC2 资源的信息。
+ ** `eks` **:可选地将集群描述为节点引导启动的一部分。
+ ** `eks-auth:AssumeRoleForPodIdentity` **:允许检索节点上 EKS 工作负载的凭证。需要执行此操作 EKS 容器组身份才能正常运行。
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSWorkerNodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodePolicy.html#AmazonEKSWorkerNodePolicy-json)。
## AWS 托管策略:AmazonEKSWorkerNodeMinimalPolicy
您可以将 AmazonEKSWorkerNodeMinimalPolicy 附加到您的 IAM 实体。您可以将此策略附加到您在创建允许 Amazon EKS 代表您执行操作的 Amazon EC2 节点时指定的节点 IAM 角色。
此策略授予 Amazon EKS Amazon EC2 节点连接到 Amazon EKS 集群的权限。与 AmazonEKSWorkerNodePolicy 相比,此策略的权限较少。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ `eks-auth:AssumeRoleForPodIdentity` – 允许检索节点上 EKS 工作负载的凭证。需要执行此操作 EKS 容器组身份才能正常运行。
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSWorkerNodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodeMinimalPolicy.html#AmazonEKSWorkerNodeMinimalPolicy-json)。
## AWS托管策略:AWSServiceRoleForAmazonEKSNodegroup
您不能将 `AWSServiceRoleForAmazonEKSNodegroup` 附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 [Amazon EKS 的服务相关角色权限](using-service-linked-roles-eks-nodegroups.md#service-linked-role-permissions-eks-nodegroups)。
此策略授予 `AWSServiceRoleForAmazonEKSNodegroup` 角色权限,允许其在您的账户中创建和管理 Amazon EC2 节点组。
**权限详细信息**
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
+ ** `ec2` **:与安全组、标签、容量预留和启动模板结合使用。Amazon EKS 托管式节点组需要此功能才能启用远程访问配置和描述可在托管式节点组中使用的容量预留。此外,Amazon EKS 托管节点组会代表您创建启动模板。这样做的目的是配置为每个托管节点组提供支持的 Amazon EC2 Auto Scaling 组。
+ ** `iam` **:创建服务相关角色并传递角色。这是 Amazon EKS 托管节点组管理创建托管节点组时传递的角色的实例配置文件所必需的。此实例配置文件由作为托管节点组的一部分启动的 Amazon EC2 实例使用。Amazon EKS 需要为其他服务(如 Amazon EC2 Auto Scaling 组)创建服务相关角色。这些权限用于创建托管节点组。
+ ** `autoscaling` **:使用安全自动扩缩组。这是 Amazon EKS 托管节点组管理支持每个托管节点组的 Amazon EC2 Auto Scaling 组所必需的。它还用于支持一些功能,例如,在节点组更新期间终止或回收节点时移出容器组(pod)以及管理在托管节点组上配置的暖池。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AWSServiceRoleForAmazonEKSNodegroup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForAmazonEKSNodegroup.html#AWSServiceRoleForAmazonEKSNodegroup-json)。
## AWS 托管策略:AmazonEKSDashboardServiceRolePolicy
您不能将 `AmazonEKSDashboardServiceRolePolicy` 附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 [Amazon EKS 的服务相关角色权限](using-service-linked-roles-eks-dashboard.md#service-linked-role-permissions-eks-dashboard)。
此策略授予 `AWSServiceRoleForAmazonEKSDashboard` 角色权限,允许其在您的账户中创建和管理 Amazon EC2 节点组。
**权限详细信息**
此策略包含允许访问以完成这些任务的以下权限:
+ **`organizations`**:查看有关 AWS Organizations 结构和账户的信息。这包括列出组织中的账户、查看组织单元和根、列出委派管理员、查看有权访问组织的服务以及检索有关组织和账户详细信息的权限。
要查看 JSON 策略文档的最新版本,请参阅《AWS Managed Policy Reference Guide》中的 [AmazonEKSDashboardServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardServiceRolePolicy.html#AmazonEKSDashboardServiceRolePolicy-json)。
## AWS 托管策略:AmazonEBSCSIDriverPolicy
**重要**
有两个新的 AWS 托管式 IAM 策略可提供限制性更强的权限范围:[AmazonEBSCSIDriverPolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2)(用于基于标签的范围)或 [AmazonEBSCSIDriverEKSClusterScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy)(用于集群范围的隔离)。如果对迁移感兴趣,请参阅 [EBS CSI 驱动程序策略迁移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。
`AmazonEBSCSIDriverPolicy` 策略允许 Amazon EBS Container Storage Interface(CSI)驱动程序代表您创建、修改、复制、附加、分离和删除卷。这包括修改现有卷上的标签以及在 EBS 卷上启用快速快照还原(FSR)。此外还将向 EBS CSI 驱动程序授予创建、锁定、还原和删除快照,以及列出实例、卷和快照的权限。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEBSCSIDriverServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html#AmazonEBSCSIDriverPolicy-json)。
## AWS 托管式策略:AmazonEBSCSIDriverPolicyV2
`AmazonEBSCSIDriverPolicyV2` 策略是 `AmazonEBSCSIDriverPolicy` 的限制性更强的替代方案。它将 Amazon EBS CSI 驱动程序限制为仅管理标记了键 `ebs.csi.aws.com/cluster` 且设置为 `true` 的 EBS 卷和快照。还通过 `kubernetes.io/created-for/pvc/name` 资源标签支持树内 Kubernetes 卷插件预置的卷(CSI 迁移的卷)。
如果从 `AmazonEBSCSIDriverPolicy` 迁移,请参阅 [EBS CSI 驱动程序策略迁移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEBSCSIDriverPolicyV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html#AmazonEBSCSIDriverPolicyV2-json)。
## AWS 托管式策略:AmazonEBSCSIDriverEKSClusterScopedPolicy
`AmazonEBSCSIDriverEKSClusterScopedPolicy` 策略将 Amazon EBS CSI 驱动程序限制为仅管理属于特定 EKS 集群的 EBS 卷和快照。它要求资源标签 `ebs.csi.aws.com/cluster-name` 与 IAM 主体上的 `eks-cluster-name` 标签匹配,从而在多个集群共享相同 AWS 账户时防止跨集群访问。实例上的附加和分离操作仅限于标有 `eks:cluster-name` 标签(由 EKS 在托管节点组上自动设置)或 `ebs.csi.aws.com/cluster-name` 标签(对于手动标记的实例)的实例。
如果从 `AmazonEBSCSIDriverPolicy` 迁移,请参阅 [EBS CSI 驱动程序策略迁移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEBSCSIDriverEKSClusterScopedPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html#AmazonEBSCSIDriverEKSClusterScopedPolicy-json)。
## AWS 托管式策略:AmazonEFSCSIDriverPolicy
`AmazonEFSCSIDriverPolicy` 策略允许 Amazon EFS 容器存储接口(CSI)代表您创建和删除接入点。该策略还将向 Amazon EFS CSI 驱动程序授予列出您的接入点文件系统、挂载目标和 Amazon EC2 可用区的权限。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEFSCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html#AmazonEFSCSIDriverPolicy-json)。
## AWS 托管式策略:AmazonS3FilesCSIDriverPolicy
`AmazonS3FilesCSIDriverPolicy` 策略允许 Amazon EFS 容器存储接口(CSI)代表您创建和删除 Amazon S3 Files 接入点。它还授予 Amazon EFS CSI 驱动程序列出您的 Amazon S3 Files 接入点和文件系统的权限。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonS3FilesCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html#AmazonS3FilesCSIDriverPolicy-json)。
## AWS 托管策略:AmazonEKSLocalOutpostClusterPolicy
您可以将此策略附加到 IAM 实体。在创建本地集群之前,您必须将此策略附加到[集群角色](cluster-iam-role.md)。由 Amazon EKS 托管的 Kubernetes 集群会代表您调用其他 AWS 服务。它们这样做的目的是为了管理您与服务一起使用的资源。
`AmazonEKSLocalOutpostClusterPolicy` 包含以下权限:
+ **`ec2` 读取操作**:允许控制面板实例描述可用区、路由表、实例和网络接口属性。Amazon EC2 实例作为控制面板实例成功加入集群所必需的权限。
+ ** `ssm` **:允许通向控制面板实例的 Amazon EC2 Systems Manager 连接,Amazon EKS 使用该连接与您账户中的本地集群通信并对其进行管理。
+ ** `logs` **:允许实例将日志推送到 Amazon CloudWatch。
+ **`secretsmanager`** – 允许实例安全地从 AWS Secrets Manager 中获取和删除控制面板实例的引导数据。
+ ** `ecr` **:允许容器组(pod)和在控制面板实例上运行的容器拉取存储在 Amazon Elastic Container Registry 中的容器映像。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSLocalOutpostClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostClusterPolicy.html#AmazonEKSLocalOutpostClusterPolicy-json)。
## AWS 托管策略:AmazonEKSLocalOutpostServiceRolePolicy
您不能将此策略附加到您的 IAM 实体。当您使用具有 `iam:CreateServiceLinkedRole` 权限的 IAM 主体创建集群时,Amazon EKS 将自动为您创建 [AWSServiceRoleforAmazonEKSLocalOutpost](using-service-linked-roles-eks-outpost.md) 服务相关角色,并将此策略附加到该角色。此策略允许该服务相关角色代表您为本地集群调用 AWS 服务。
`AmazonEKSLocalOutpostServiceRolePolicy` 包含以下权限:
+ ** `ec2` **:允许 Amazon EKS 使用安全、网络和其他资源,成功启动和管理您的账户中的控制面板实例。
+ ** `ssm`、`ssmmessages`**:允许通向控制面板实例的 Amazon EC2 Systems Manager 连接,Amazon EKS 使用该连接与您账户中的本地集群通信并对其进行管理。
+ ** `iam` **:允许 Amazon EKS 管理与控制面板实例关联的实例配置文件。
+ **`secretsmanager`** – 允许 Amazon EKS 将控制面板实例的引导数据放入 AWS Secrets Manager,以便能在实例引导期间安全地引用它。
+ ** `outposts` **:允许 Amazon EKS 从您的账户中获取 Outpost 信息,以便在 Outpost 中成功启动本地集群。
要查看 JSON 策略文档的最新版本,请参阅《AWS 托管式策略参考指南》中的 [AmazonEKSLocalOutpostServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostServiceRolePolicy.html#AmazonEKSLocalOutpostServiceRolePolicy-json)。
## AWS托管策略的 Amazon EKS 更新
查看有关 Amazon EKS(自从其开始跟踪更新更改以来)的AWS托管策略的更新的详细信息。
要接收此特定文档页面的所有源文件更改通知,您可以通过 RSS 阅读器订阅以下 URL:
```
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
```
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 引入了 [AmazonEBSCSIDriverPolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2) 和 [AmazonEBSCSIDriverEKSClusterScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy)。 | 引入了 `AmazonEBSCSIDriverPolicyV2` 和 `AmazonEBSCSIDriverEKSClusterScopedPolicy` 作为 `AmazonEBSCSIDriverPolicy` 的限制性更强的替代方案。`AmazonEBSCSIDriverPolicyV2` 将 EBS CSI 驱动程序的范围限定为标记了 `ebs.csi.aws.com/cluster` 且设置为 `true` 的卷和快照。`AmazonEBSCSIDriverEKSClusterScopedPolicy` 使用 `ebs.csi.aws.com/cluster-name` 标签将驱动程序的范围限定为属于特定 EKS 集群的卷和快照。 | 2026 年 4 月 16 日 |
| 将权限更新为 [AWS 托管策略:AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 更新了 `AmazonEKSLoadBalancingPolicy` 中的 `shield:CreateProtection`、`shield:DeleteProtection` 权限。这允许 Amazon EKS Auto Mode 控制器添加盾牌保护。 | 2026 年 4 月 14 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 更新了 `AmazonEKSLoadBalancingPolicy` 中的 `elasticloadbalancing:RegisterTargets` 权限以添加对多集群和自定义目标组绑定的支持 | 2026 年 3 月 20 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 在 `AmazonEKSLoadBalancingPolicy` 中添加了 `elasticloadbalancing:ModifyIpPools` 权限以添加为 ALB 设置 IPAM 池的支持 | 2026 年 3 月 20 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSNetworkingPolicy](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy)。 | 在 `AmazonEKSNetworkingPolicy` 中添加了 `ec2:ModifyNetworkInterfaceAttribute` 权限。这允许 Amazon EKS Auto Mode 控制器修改与 EC2 实例相关的网络接口属性。 | 2026 年 2 月 3 日 |
| 已将权限添加至 [AWS托管策略:AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 已为 `AWSServiceRoleForAmazonEKSNodegroup` 新增 `autoscaling:PutWarmPool`、`autoscaling:DeleteWarmPool` 和 `autoscaling:DescribeWarmPool` 权限。这使得 Amazon EKS 托管节点组能够在节点组的整个生命周期内管理底层 ASG 的暖池资源。 | 2026 年 2 月 17 日 |
| 已将权限添加至 [AWS托管策略:AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 移除了 `AmazonEKSServiceRolePolicy` 中 `iam:GetInstanceProfile` 权限的目标实例配置文件名称中的“eks”前缀要求。这使得 Amazon EKS 自动模式能够在 NodeClasses 中验证和利用自定义实例配置文件,而无需“eks”命名前缀。 | 2026 年 2 月 2 日 |
| 为 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) 增加了权限。 | 已新增 `ec2:LockSnapshot` 权限,以使 EBS CSI 驱动程序能够直接锁定 EBS 快照。 | 2026 年 1 月 15 日 |
| 引入 [AWS 托管式策略:AmazonEKSMCPReadOnlyAccess](#security-iam-awsmanpol-amazoneksmcpreadonlyaccess)。 | Amazon EKS 已发布一项全新的托管式策略 `AmazonEKSMCPReadOnlyAccess`,用于在 Amazon EKS MCP 服务器中启用只读工具,实现可观测性和问题排查功能。 | 2025 年 11 月 21 日 |
| 为 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) 增加了权限。 | 增加了 `ec2:CopyVolumes` 权限,支持 EBS CSI 驱动程序直接复制 EBS 卷。 | 2025 年 11 月 17 日 |
| 已将权限添加至 [AWS托管策略:AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 已为 `AmazonEKSServiceRolePolicy` 新增 `ec2:DescribeRouteTables` 和 `ec2:DescribeNetworkAcls` 权限。作为集群洞察功能的一部分,此项能力支持 Amazon EKS 检测混合节点的 VPC 路由表与网络 ACL 的配置问题。 | 2025 年 10 月 22 日 |
| 为 [AWSServiceRoleForAmazonEKSConnector](using-service-linked-roles-eks-connector.md) 添加了权限 | 已为 `AmazonEKSConnectorServiceRolePolicy` 新增 `ssmmessages:OpenDataChannel` 权限 | 2025 年 10 月 15 日 |
| 已将权限添加至 [AWS托管策略:AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy) | 此角色可以附加新的访问策略 `AmazonEKSEventPolicy`。`ec2:DeleteLaunchTemplate` 和 `ec2:TerminateInstances` 的权限受限。 | 2025 年 8 月 26 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy) | 已将 `ssmmessages:OpenDataChannel` 权限添加至 `AmazonEKSLocalOutpostServiceRolePolicy`。 | 2025 年 6 月 26 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 | 更新了 `ec2:RunInstances` 和 `ec2:CreateFleet` 操作的资源权限以包括容量预留 ` arn:aws:ec2:*:*:capacity-reservation/*`。这允许 Amazon EKS 自动模式使用您账户中的 EC2 按需容量预留来启动实例。添加了 `iam:CreateServiceLinkedRole` 以允许 Amazon EKS 自动模式代表您创建 EC2 竞价型实例服务相关角色 `AWSServiceRoleForEC2Spot`。 | 2025 年 6 月 20 日 |
| 已将权限添加至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 添加了 `ec2:DescribeCapacityReservations` 权限以允许 Amazon EKS 自动模式使用您账户中的 EC2 按需容量预留来启动实例。 | 2025 年 6 月 20 日 |
| 引入 [AWS 托管策略:AmazonEKSDashboardConsoleReadOnly](#security-iam-awsmanpol-amazoneksdashboardconsolereadonly)。 | 引入了新的 `AmazonEKSDashboardConsoleReadOnly` 策略。 | 2025 年 6 月 19 日 |
| 引入 [AWS 托管策略:AmazonEKSDashboardServiceRolePolicy](#security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy)。 | 引入了新的 `AmazonEKSDashboardServiceRolePolicy` 策略。 | 2025 年 5 月 21 日 |
| 已将权限添加至 [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy)。 | 添加了 `ec2:DeleteNetworkInterfaces` 权限,允许 Amazon EKS 删除 VPC CNI 意外退出时留下的弹性网络接口。 | 2025 年 4 月 16 日 |
| 已将权限添加至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 作为 EKS 1.33 版本发行的一部分,添加了 `ec2:RevokeSecurityGroupEgress` 和 `ec2:AuthorizeSecurityGroupEgress` 权限,允许 EKS AI/ML 客户向与 EFA 兼容的默认 EKS 集群安全组添加安全组出口规则。 | 2025 年 4 月 14 日 |
| 已将权限添加至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 增加了终止由 EKS 自动模式创建的 EC2 实例的权限。 | 2025 年 2 月 28 日 |
| 为 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) 增加了权限。 | 增加了授权 EBS CSI 驱动程序还原所有快照的新语句。此前现有策略允许这一操作,但由于 IAM 处理 `CreateVolume` 的方式发生了变化,因此需要新的显式语句。 增加了 EBS CSI 驱动程序修改现有卷上标签的功能。EBS CSI 驱动程序可以通过 Kubernetes VolumeAttributesClasses 中的参数修改现有卷的标签。 增加了 EBS CSI 驱动程序在 EBS 卷上启用快速快照还原(FSR)的功能。EBS CSI 驱动程序可以通过 Kubernetes 存储类中的参数在新卷上启用 FSR。 | 2025 年 1 月 13 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 更新了 `AmazonEKSLoadBalancingPolicy`,以允许列出和描述联网和 IP 地址资源。 | 2024 年 12 月 26 日 |
| 已将权限添加至 [AWS托管策略:AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 为兼容中国区域,更新了 `AWSServiceRoleForAmazonEKSNodegroup`。 | 2024 年 11 月 22 日 |
| 已将权限添加至 [AWS 托管策略:AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy) | 为 `AmazonEKSLocalOutpostClusterPolicy` 添加了 `ec2:DescribeAvailabilityZones` 权限,以便集群控制面板上的 AWS Cloud Controller Manager 可以识别各个节点所在的可用区。 | 2024 年 11 月 21 日 |
| 已将权限添加至 [AWS托管策略:AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 更新了 `AWSServiceRoleForAmazonEKSNodegroup` 策略,允许 `ec2:RebootInstances`,以实现由 Amazon EKS 托管节点组创建的实例。限制了 Amazon EC2 资源的 `ec2:CreateTags` 权限。 | 2024 年 11 月 20 日 |
| 已将权限添加至 [AWS托管策略:AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | EKS 更新了 AWS 托管策略 `AmazonEKSServiceRolePolicy`。添加了 EKS 访问策略、负载均衡器管理和自动集群资源清理的权限。 | 2024 年 11 月 16 日 |
| 引入 [AWS 托管策略:AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 | EKS 更新了 AWS 托管策略 `AmazonEKSComputePolicy`。更新了 `iam:AddRoleToInstanceProfile` 操作的资源权限。 | 2024 年 11 月 7 日 |
| 引入 [AWS 托管策略:AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 | AWS 引入了 `AmazonEKSComputePolicy`。 | 2024 年 11 月 1 日 |
| 已将权限添加至 `AmazonEKSClusterPolicy` | 添加了 `ec2:DescribeInstanceTopology` 权限,允许 Amazon EKS 将拓扑信息作为标签附加到节点。 | 2024 年 11 月 1 日 |
| 引入 [AWS 托管策略:AmazonEKSBlockStoragePolicy](#security-iam-awsmanpol-AmazonEKSBlockStoragePolicy)。 | AWS 引入了 `AmazonEKSBlockStoragePolicy`。 | 2024 年 10 月 30 日 |
| 引入 [AWS 托管策略:AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | AWS 引入了 `AmazonEKSLoadBalancingPolicy`。 | 2024 年 10 月 30 日 |
| 已将权限添加至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 添加了 `cloudwatch:PutMetricData` 权限,允许 Amazon EKS 向 Amazon CloudWatch 发布指标。 | 2024 年 10 月 29 日 |
| 引入 [AWS 托管策略:AmazonEKSNetworkingPolicy](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy)。 | AWS 引入了 `AmazonEKSNetworkingPolicy`。 | 2024 年 10 月 28 日 |
| 增加了对 `AmazonEKSServicePolicy` 和 `AmazonEKSServiceRolePolicy` 的权限。 | 添加了 `ec2:GetSecurityGroupsForVpc` 和相关的标签权限,以允许 EKS 读取安全组信息和更新相关标签。 | 2024 年 10 月 10 日 |
| 引入了 [AmazonEKSWorkerNodeMinimalPolicy](#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy)。 | AWS 引入了 `AmazonEKSWorkerNodeMinimalPolicy`。 | 2024 年 10 月 3 日 |
| 已将权限添加至 [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 添加了 `autoscaling:ResumeProcesses` 和 `autoscaling:SuspendProcesses` 权限,以允许 Amazon EKS 在 Amazon EKS 托管的自动扩缩组中暂停和恢复 `AZRebalance`。 | 2024 年 8 月 21 日 |
| 已将权限添加至 [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 增加了 `ec2:DescribeCapacityReservations` 权限,以允许 Amazon EKS 描述用户账户的容量预留。增加了 `autoscaling:PutScheduledUpdateGroupAction` 权限,以在 `CAPACITY_BLOCK` 节点组上启用设置计划扩缩。 | 2024 年 6 月 27 日 |
| [AmazonEKS\_CNI\_Policy](#security-iam-awsmanpol-amazoneks-cni-policy) – 更新到现有策略 | Amazon EKS 添加了新的 `ec2:DescribeSubnets` 权限,允许适用于 Kubernetes 的 Amazon VPC CNI 插件查看 Amazon VPC 子网中的免费 IP 地址数量。VPC CNI 可以使用每个子网中的免费 IP 地址来选择空闲 IP 地址最多的子网,以便在创建弹性网络接口时使用。 | 2024 年 3 月 4 日 |
| [AmazonEKSWorkerNodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy):更新现有策略 | Amazon EKS 添加了新的权限以允许 EKS 容器组身份。Amazon EKS 容器组身份代理使用节点角色。 | 2023 年 11 月 26 日 |
| 推出了 [AmazonEFSCSIDriverPolicy](#security-iam-awsmanpol-amazonefscsidriverservicerolepolicy)。 | AWS 引入了 `AmazonEFSCSIDriverPolicy`。 | 2023 年 7 月 26 日 |
| 已将权限添加至 [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy)。 | 增加了 `ec2:DescribeAvailabilityZones` 权限以允许 Amazon EKS 在创建负载均衡器时在子网自动发现期间获取可用区详细信息。 | 2023 年 2 月 7 日 |
| 更新了 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) 中的策略条件。 | 删除了 `StringLike` 键字段中带有通配符的无效策略条件。还将一个新条件 `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` 添加到 `ec2:DeleteVolume`,以允许 EBS CSI 驱动程序删除由树内插件创建的卷。 | 2022 年 11 月 17 日 |
| 添加了对 [AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy) 的权限。 | 添加了 `ec2:DescribeVPCAttribute`、`ec2:GetConsoleOutput` 和 `ec2:DescribeSecret` 以实现更好的先决条件验证和托管式生命周期控制。还添加了 `ec2:DescribePlacementGroups`、`"arn:aws:ec2:*:*:placement-group/*"` 和 `ec2:RunInstances` 以支持控制面板 Amazon EC2 实例在 Outposts 上的置放控制。 | 2022 年 10 月 24 日 |
| 更新了 [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy) 中的 Amazon Elastic Container Registry 权限。 | 将操作 `ecr:GetDownloadUrlForLayer` 从所有资源部分移至限定范围部分。添加了资源 ` arn:aws:ecr:*:*:repository/eks/ `。删除了资源 ` arn:aws:ecr:`。此资源涵盖在增加的 ` arn:aws:ecr:*:*:repository/eks/*` 资源中。 | 2022 年 10 月 20 日 |
| 将权限添加到了 [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy)。 | 添加了 ` arn:aws:ecr:*:*:repository/kubelet-config-updater` Amazon Elastic Container Registry 存储库,以便集群控制面板实例能够更新某些 `kubelet` 参数。 | 2022 年 8 月 31 日 |
| 引入了 [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy)。 | AWS 引入了 `AmazonEKSLocalOutpostClusterPolicy`。 | 2022 年 8 月 24 日 |
| 引入了 [AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy)。 | AWS 引入了 `AmazonEKSLocalOutpostServiceRolePolicy`。 | 2022 年 8 月 23 日 |
| 引入的 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy)。 | AWS 引入了 `AmazonEBSCSIDriverPolicy`。 | 2022 年 4 月 4 日 |
| 已添加权限到 [AmazonEKSWorkerNodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy)。 | 增加了 `ec2:DescribeInstanceTypes` 以启用能够自动发现实例级别属性的 Amazon EKS 优化版 AMI。 | 2022 年 3 月 21 日 |
| 已将权限添加至 [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 添加了 `autoscaling:EnableMetricsCollection` 权限以允许 Amazon EKS 启用指标收集。 | 2021 年 12 月 13 日 |
| 已将权限添加至 [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy)。 | 添加了 `ec2:DescribeAccountAttributes`、`ec2:DescribeAddresses` 和 `ec2:DescribeInternetGateways` 权限,以允许 Amazon EKS 为 Network Load Balancer 创建服务相关角色。 | 2021 年 6 月 17 日 |
| Amazon EKS 已开始跟踪更改。 | Amazon EKS 开始跟踪其AWS托管策略的更改。 | 2021 年 6 月 17 日 |