本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 與 Amazon EKS 整合
CloudWatch 調查功能調查群組可以直接利用來自 Amazon EKS 叢集的資訊。若要開始使用,請先授與對 `Investigation Group` IAM 角色的存取權。建議使用預設的 AWS 受管*存取政策*`AmazonAIOpsAssistantPolicy`,授予 CloudWatch 調查調查群組對叢集中資源的存取權。透過使用此政策,您可以視需要自動取得政策更新。
**注意**
`AmazonAIOpsAssistantPolicy` 是存取政策。授權與 CloudWatch 調查調查群組相關聯存取的 AWS 受管身分政策為 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)。
使用**進階組態**選項,將存取政策提供的存取權限範圍縮小至一組命名空間或整個叢集。或者,您可以將存取項目與 Kubernetes 群組 RBAC 許可建立關聯,以進一步縮小存取權限範圍。如需詳細資訊,請參閱[建立存取項目](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html)。
## 設定 Amazon EKS 存取項目 (主控台)
若要使用 AWS 管理主控台將 `AmazonAIOpsAssistantPolicy`與調查角色建立關聯,請遵循下列步驟:
1. 開啟 CloudWatch 主控台並導覽至「調查組態」頁面。
1. 在 Amazon EKS 存取權限區段中,選取將 `AmazonAIOpsAssistantPolicy` 與您的調查角色建立關聯的選項。
1. 檢閱政策詳細資訊並確認關聯。
若要進一步自訂存取權限範圍:
1. 按一下 Amazon EKS 存取權限區段中的**進階組態**。
1. 您會被重新導向至 Amazon EKS 主控台。
1. 在 Amazon EKS 主控台中,您可以:
1. 將政策範圍限定於特定命名空間
1. 設定群組功能以實現更精細的存取控制
## 設定 Amazon EKS 存取項目 (CDK)
若要使用 AWS CDK 設定 Amazon EKS 存取項目,請使用下列程式碼範例:
```
const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
cluster: eksCluster,
principal: investigationsIamRole.roleArn,
accessPolicies: [
AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
accessScopeType: AccessScopeType.CLUSTER
}),
],
});
```
## AmazonAIOpsAssistantPolicy
Amazon EKS 存取政策 `AmazonAIOpsAssistantPolicy` 提供對叢集內資源的全面唯讀存取權限。CloudWatch 調查功能目前可能不會使用來自每個資源的資訊。
```
- apiGroups: [""]
resources:
- pods
- pods/log
- services
- nodes
- namespaces
- events
- persistentvolumes
- persistentvolumeclaims
- configmaps
verbs:
- get
- list
- apiGroups: ["apps"]
resources:
- deployments
- replicasets
- statefulsets
- daemonsets
verbs:
- get
- list
- apiGroups: ["batch"]
resources:
- jobs
- cronjobs
verbs:
- get
- list
- apiGroups: ["events.k8s.io"]
resources:
- events
verbs:
- get
- list
- apiGroups: ["networking.k8s.io"]
resources:
- ingresses
- ingressclasses
verbs:
- get
- list
- apiGroups: ["storage.k8s.io"]
resources:
- storageclasses
verbs:
- get
- list
- apiGroups: ["metrics.k8s.io"]
resources:
- pods
- nodes
verbs:
- get
- list
```
## AmazonAIOpsAssistantPolicy 更新
| 變更 | 描述 | Date |
| --- | --- | --- |
| 新增 CloudWatch 調查政策 | AmazonAIOpsAssistantPolicy 初始版本 | 2025 年 8 月 9 日 |