AWS Amazon Elastic Kubernetes Service 的受管政策 - Amazon EKS
Amazon EKS CNI _ 政策一個mazonEKSCluster政策A mazonEKSFargate PodExecutionRolePolicyA mazonEKSFor FargateServiceRolePolicy一個mazonEKSService政策A mazonEKSService RolePolicy一個mazonEKSVPCResource控制器A mazonEKSWorker NodePolicyAWS ServiceRoleForAmazonEKSNodegroup一個mazonEBSCSIDriver政策一個mazonEFSCSIDriver政策A mazonEKSLocal OutpostClusterPolicyA mazonEKSLocal OutpostServiceRolePolicy政策更新

協助改善此頁面

想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Amazon Elastic Kubernetes Service 的受管政策

受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。

請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。

如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略

AWS 受管政策:Amazon EKS CNI _ 政策

您可以將附加AmazonEKS_CNI_Policy至您的IAM實體。在建立 Amazon EC2 節點群組之前,必須將此政策附加到節點IAMIAM角色或特別由 Amazon VPC CNI plugin for Kubernetes. 這樣一來,可以代表您執行動作。我們建議您將政策連接至僅供外掛程式使用的角色。如需詳細資訊,請參閱 分配IPs到Pods與 Amazon VPC CNI配置 Amazon VPC CNI 插件使用 IRSA

許可詳細資訊

此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:

  • ec2:*NetworkInterfaceec2:*PrivateIpAddresses — 允許 Amazon VPC CNI 外掛程式執行動作,例如佈建彈性網路界面和 IP 地址,以Pods便為在 Amazon 中執行的應用程式提供聯網EKS。

  • ec2讀取動作 — 允許 Amazon VPC CNI 外掛程式執行動作 (例如說明執行個體和子網路),以查看 Amazon VPC 子網路中可用的 IP 地址數量。VPCCNI可以使用每個子網路中的免費 IP 位址來挑選具有最多可用 IP 位址的子網路,以便在建立 elastic network interface 時使用。

若要檢視最新版本的JSON政策文件,請參閱 AWS 受管CNI政策參考指南中的 Amazon EKS _ _ 政策。

AWS 管理策略:mazonEKSCluster策略

您可以附加AmazonEKSClusterPolicy到您的IAM實體。在建立叢集之前,您必須具有附加此原則的叢集IAM角色。 Kubernetes由 Amazon 管理的叢集代表您EKS撥打其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。

此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:

  • autoscaling:讀取和更新 Auto Scaling 群組的組態。Amazon 不會使用這些許可,EKS但仍保留在政策中,以確保向後相容性。

  • ec2— 使用與 Amazon EC2 節點相關聯的磁碟區和網路資源。這是必要的,以便Kubernetes控制平面可以將執行個體加入叢集,並動態佈建和管理Kubernetes持續性EBS磁碟區要求的 Amazon 磁碟區。

  • elasticloadbalancing:使用 Elastic Load Balancer,並將節點作為目標新增至 Elastic Load Balancers。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。

  • iam – 建立服務連結角色。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。

  • kms – 從 AWS KMS中讀取金鑰。這是 Kubernetes 控制平面支援在 etcd 中存放的 Kubernetes 秘密之秘密加密的必要條件。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管理mazonEKSCluster策略參考指南》中的策略。

AWS 受管理策略:A mazonEKSFargate PodExecutionRolePolicy

您可以附加AmazonEKSFargatePodExecutionRolePolicy到您的IAM實體。在建立 Fargate 設定檔之前,您必須先建立 Fargate Pod 執行角色並將此政策連接至該角色。如需詳細資訊,請參閱 步驟 2:建立 Fargate Pod 執行角色定義啟動 AWS Fargate 時的Pods用途

此政策授予角色許可,這些許可提供對EKSPods在 Fargate 上執行 Amazon 所需的其他 AWS 服務資源的存取權。

許可詳細資訊

此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:

  • ecr— 允許在 Fargate 上運行的 Pod 提取存儲在 Amazon ECR 中的容器映像。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSFargatePodExecutionRolePolicy中的 A

AWS 受管理策略:A mazonEKSFor FargateServiceRolePolicy

您無法附加AmazonEKSForFargateServiceRolePolicy至您的IAM實體。此政策附加至服務連結角色,可EKS讓 Amazon 代表您執行動作。如需詳細資訊,請參閱 AWSServiceRoleforAmazonEKSForFargate。

此政策授予 Amazon 執行 Fargate 任務的必要許EKS可。只有在您擁有 Fargate 節點時才會使用此政策。

許可詳細資訊

此政策包括下列許可,這些許可允許 Amazon EKS 完成以下任務。

  • ec2:建立和刪除彈性網路介面,並描述彈性網路介面和資源。這是必要的,Amazon EKS Fargate 服務才能設定 Fargate VPC 網繭所需的網路。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSForFargateServiceRolePolicy中的 A

AWS 管理策略:mazonEKSService策略

您可以附加AmazonEKSServicePolicy到您的IAM實體。在 2020 年 4 月 16 日之前建立的叢集,需要您建立IAM角色並將此原則附加至該角色。在 2020 年 4 月 16 日或之後建立的叢集不需要您建立角色,也不需要您指派此政策。當您使用具有iam:CreateServiceLinkedRole權限的IAM主體建立叢集時,會自動為您建立AWS ServiceRoleforAmazonEKS服務連結角色。服務連結角色具有可連接至其中的 AWS 受管理策略:A mazonEKSService RolePolicy

此政策允許 Amazon EKS 建立和管理必要的資源來操作 Amazon EKS 叢集。

許可詳細資訊

此政策包括下列許可,這些許可允許 Amazon EKS 完成以下任務。

  • eks – 在您開始更新之後,更新叢集的 Kubernetes 版本。Amazon 不會使用此權限,EKS但仍保留在政策中,以確保向後相容性。

  • ec2:使用彈性網路介面及其他網路資源和標籤。這是 Amazon 要求設定聯網,EKS以促進節點與Kubernetes控制平面之間的通訊。

  • route53— 將 a VPC 與託管區域相關聯。這是 Amazon EKS 要求您的Kubernetes叢集API伺服器啟用私有端點聯網。

  • logs:日誌事件。這是必要的,以便 Amazon EKS 可以將Kubernetes控制平面日誌運送到 CloudWatch.

  • iam – 建立服務連結角色。這是必要的,Amazon 才EKS能代表您建立AWSServiceRoleForAmazonEKS服務連結角色。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管理mazonEKSService策略參考指南》中的策略。

AWS 受管理策略:A mazonEKSService RolePolicy

您無法附加AmazonEKSServiceRolePolicy至您的IAM實體。此政策附加至服務連結角色,可EKS讓 Amazon 代表您執行動作。如需詳細資訊,請參閱Amazon 的服務連結角色許可 EKS。當您使用具有iam:CreateServiceLinkedRole權限的IAM主體建立叢集時,系統會自動為您建立AWS ServiceRoleforAmazonEKS服務連結角色,並將此原則附加至該叢集。

此原則允許服務連結角色代表您呼叫 AWS 服務。

許可詳細資訊

此政策包括下列許可,這些許可允許 Amazon EKS 完成以下任務。

  • ec2— 建立和說明彈性網路界面和 Amazon EC2 執行個體、叢集安全群組,VPC以及建立叢集所需的資訊。

  • iam— 列出所有附加至IAM角色的受管理原則。這是必要的,Amazon 才EKS能列出並驗證建立叢集所需的所有受管政策和許可。

  • 將一個VPC與託管區域建立關聯 — Amazon 要求這樣EKS做才能為Kubernetes叢集API伺服器啟用私有端點聯網。

  • 誌事件 — 這是必需的,這樣 Amazon 才EKS能將Kubernetes控制平面日誌運送到 CloudWatch。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSServiceRolePolicy中的 A

AWS 管理策略:mazonEKSVPCResource控制器

您可以將AmazonEKSVPCResourceController原則附加至您的IAM身分識別。如果您使用的是 Pods 的安全群組,您必須將此政策連接至 Amazon EKS 群集IAM角色,以代表您執行動作。

此政策會授予叢集角色許可,以管理節點的彈性網路介面和 IP 地址。

許可詳細資訊

此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:

  • ec2 – 管理彈性網路介面和 IP 地址,以支援 Pod 安全群組和 Windows 節點。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管理原則參考指南》中的mazonEKSVPCResource控制器

AWS 受管理策略:A mazonEKSWorker NodePolicy

您可以將附加AmazonEKSWorkerNodePolicy至您的IAM實體。您必須將此政策附加到您在建立允許 Amazon 代表您執行動作的 Amazon EC2 EKS 節點時指定的節點IAM角色。如果您使用建立節點群組eksctl,它會建立節點IAM角色,並自動將此原則附加至角色。

此政策授予 Amazon EKS Amazon EC2 節點連接到 Amazon EKS 叢集的許可。

許可詳細資訊

此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:

  • ec2:讀取執行個體磁碟區和網路資訊。這是必要的,以便Kubernetes節點可以描述節點加入 Amazon EKS 叢集所需之 Amazon EC2 資源的相關資訊。

  • eks:選擇性地將叢集描述為節點引導的一部分。

  • eks-auth:AssumeRoleForPodIdentity— 允許擷取節點上EKS工作負載的認證。這是EKS網繭識別才能正常運作的必要項目。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSWorkerNodePolicy中的 A

AWS 受管理的策略: AWSServiceRoleForAmazonEKSNodegroup

您無法附加AWS ServiceRoleForAmazonEKSNodegroup至您的IAM實體。此政策附加至服務連結角色,可EKS讓 Amazon 代表您執行動作。如需詳細資訊,請參閱Amazon 的服務連結角色許可 EKS

此政策授予AWS ServiceRoleForAmazonEKSNodegroup角色許可,允許其在您的帳戶中建立和管理 Amazon EC2 節點群組。

許可詳細資訊

此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:

  • ec2— 使用安全群組、標籤、容量保留和啟動範本。Amazon EKS 受管節點群組必須執行此動作,才能啟用遠端存取組態,以及說明可在受管節點群組中使用的容量保留。此外,Amazon EKS 受管節點群組會代表您建立啟動範本。這是為了設定支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。

  • iam:建立服務連結角色並傳遞角色。Amazon EKS 受管節點群組需要這樣做,才能在建立受管節點群組時管理要傳遞之角色的執行個體設定檔。作為受管節點群組的一部分啟動的 Amazon EC2 執行個體會使用此執行個體設定檔。Amazon EKS 需要為其他服務 (例如 Amazon EC2 Auto Scaling 群組) 建立服務連結角色。這些許可會用於建立受管節點群組。

  • autoscaling :使用安全的 Auto Scaling 群組。Amazon EKS 受管節點群組需要這樣做,才能管理支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。它也可用來支援功能,例如在節點群組更新期間終止或回收節點時移出 Pods。

若要檢視JSON政策文件的最新版本,請參閱《 AWS 受管策略參考指南》AWSServiceRoleForAmazonEKSNodegroup中的。

AWS 管理策略:mazonEBSCSIDriver策略

AmazonEBSCSIDriverPolicy政策允許 Amazon EBS 容器儲存界面 (CSI) 驅動程式代表您建立、修改、連接、分離和刪除磁碟區。它也授予EBSCSI驅動程式權限,以建立和刪除快照,以及列出您的執行個體、磁碟區和快照。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEBSCSIDriverServiceRolePolicy中的 A

AWS 管理策略:mazonEFSCSIDriver策略

AmazonEFSCSIDriverPolicy政策允許 Amazon EFS 容器儲存界面 (CSI) 代表您建立和刪除存取點。它還授予 Amazon EFS CSI 驅動程式許可,以列出存取點檔案系統、掛載目標和 Amazon EC2 可用區域。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEFSCSIDriverServiceRolePolicy中的 A

AWS 受管理策略:A mazonEKSLocal OutpostClusterPolicy

您可以將此原則附加至IAM實體。建立本機叢集之前,您必須將此原則附加至叢集角色。 Kubernetes由 Amazon 管理的叢集代表您EKS撥打其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。

AmazonEKSLocalOutpostClusterPolicy 包含以下許可:

  • ec2— Amazon EC2 執行個體成功加入叢集做為控制平面執行個體所需的許可。

  • ssm— 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon 會使用該執行個體EKS進行通訊和管理帳戶中的本機叢集。

  • logs— 允許執行個體將日誌推送到 Amazon CloudWatch。

  • secretsmanager— 允許執行個體從中安全地取得和刪除控制平面執行個體的啟動程序資料 AWS Secrets Manager。

  • ecr:允許在控制平面執行個體上執行的 Pods 和容器提取存放在 Amazon Elastic Container Registry 中的容器映像。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSLocalOutpostClusterPolicy中的 A

AWS 受管理策略:A mazonEKSLocal OutpostServiceRolePolicy

您無法將此原則附加至您的IAM實體。當您使用具有iam:CreateServiceLinkedRole權限的IAM主體建立叢集時,Amazon EKS 會自動為您建立AWSServiceRoleforAmazonEKSLocalOutpost服務連結角色,並將此政策附加至該叢集。此原則允許服務連結角色代表您為本機叢集呼叫 AWS 服務。

AmazonEKSLocalOutpostServiceRolePolicy 包含以下許可:

  • ec2— 允許 Amazon 使EKS用安全性、網路和其他資源,在您的帳戶中成功啟動和管理控制平面執行個體。

  • ssm— 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon 會使用該執行個體EKS進行通訊和管理帳戶中的本機叢集。

  • iam— 允許 Amazon EKS 管理與控制平面執行個體關聯的執行個體設定檔。

  • secretsmanager— 允許 Amazon EKS 將控制平面執行個體的啟動程序資料放入其中,以 AWS Secrets Manager 便在執行個體啟動期間安全地參考。

  • outposts— 允許 Amazon 從您EKS的帳戶獲取前哨信息,以便在 Outpost 中成功啟動本地集群。

若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSLocalOutpostServiceRolePolicy中的 A

Amazon EKS 更新受 AWS 管政策

檢視有關 Amazon AWS 受管政策更新的詳細資訊,EKS因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Amazon EKS 文件歷史記錄頁面上的動RSS態消息。

變更 描述 日期

已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup.

新增autoscaling:ResumeProcesses並允autoscaling:SuspendProcesses許 Amazon 在 Amazon EKS EKS 受管的 Auto Scaling 群組AZRebalance中暫停和恢復。

 2024年8月21 日

已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup.

添加了允ec2:DescribeCapacityReservations許 Amazon 描述EKS用戶帳戶中的容量保留的權限。新增autoscaling:PutScheduledUpdateGroupAction允許在CAPACITY_BLOCK節點群組上設定排程調整比例的權限。

 2024年6月27日

Amazon EKS CNI _ 政策 — 更新到現有政策

Amazon EKS 添加了新的ec2:DescribeSubnets許可,以允許在您的 Amazon VPC 子網中查看免費 IP 地址的數量。Amazon VPC CNI plugin for Kubernetes

VPCCNI可以使用每個子網路中的免費 IP 位址來挑選具有最多可用 IP 位址的子網路,以便在建立 elastic network interface 時使用。

 2024年3月4日

A mazonEKSWorker NodePolicy-更新到現有策略

Amazon 新EKS增了允許EKS網繭身分識別的新許可。

Amazon EKS 網繭身分識別代理程式使用節點角色。

 2023 年 11 月 26 日

引入了一項mazonEFSCSIDriver政策

AWS 介紹了AmazonEFSCSIDriverPolicy.

 2023 年 7 月 26 日

已新增權限至「mazonEKSCluster原則」。

新增允許 Amazon EKS 在子網路自動探索期間取得 AZ 詳細資料的ec2:DescribeAvailabilityZones權限,同時建立負載平衡器。

 2023 年 2 月 7 日

更新策略中的mazonEBSCSIDriver政策條件。

已移除在 StringLike 金鑰欄位中使用萬用字元的無效政策條件。還ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"向中添加了一個新條件ec2:DeleteVolume,允許EBSCSI驅動程序刪除樹中插件創建的卷。

 2022 年 11 月 17 日

為 A 添加權限mazonEKSLocalOutpostServiceRolePolicy。

已新增 ec2:DescribeVPCAttributeec2:GetConsoleOutputec2:DescribeSecret,以允許更好的先決條件驗證和受管生命週期控制。還添加了ec2:DescribePlacementGroups"arn:aws:ec2:*:*:placement-group/*"ec2:RunInstances持 Outposts 上 Amazon EC2 實例控制平面的放置控制。

 2022 年 10 月 24 日

在 A 中更新 Amazon 彈性容器註冊表許可mazonEKSLocalOutpostClusterPolicy

已將動作 ecr:GetDownloadUrlForLayer 從所有資源區段移至限定範圍區段。已新增資源 arn:aws:ecr:*:*:repository/eks/*。已移除資源 arn:aws:ecr:*:*:repository/eks/eks-certificates-controller-public。新增的 arn:aws:ecr:*:*:repository/eks/* 資源涵蓋此資源。

 2022 年 10 月 20 日

為 A 添加權限mazonEKSLocalOutpostClusterPolicy。

已新增 arn:aws:ecr:*:*:repository/kubelet-config-updater Amazon Elastic Container Registry 儲存庫,以便叢集控制平面執行個體可以更新部分 kubelet 引數。

 2022 年 8 月 31 日

介紹 A mazonEKSLocal OutpostClusterPolicy.

AWS 介紹了AmazonEKSLocalOutpostClusterPolicy.

 2022 年 8 月 24 日

介紹 A mazonEKSLocal OutpostServiceRolePolicy.

AWS 介紹了AmazonEKSLocalOutpostServiceRolePolicy.

 2022 年 8 月 23 日

引入了一項mazonEBSCSIDriver政策

AWS 介紹了AmazonEBSCSIDriverPolicy.

 2022 年 4 月 4 日

為 A 添加權限mazonEKSWorkerNodePolicy。

新增ec2:DescribeInstanceTypes至啟用 Amazon EKS 最佳化功能AMIs,可 auto 探索執行個體層級屬性。

 2022 年 3 月 21 日

已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup.

添加了允autoscaling:EnableMetricsCollection許 Amazon 啟用EKS指標收集的權限。

2021 年 12 月 13 日

已新增權限至「mazonEKSCluster原則」。

新增ec2:DescribeAccountAttributesec2:DescribeAddresses、和許可,允ec2:DescribeInternetGateways許 Amazon EKS 為 Network Load Balancer 建立服務連結角色。

 2021 年 6 月 17 日

Amazon EKS 開始跟踪更改。

Amazon EKS 開始追蹤其 AWS 受管政策的變更。

 2021 年 6 月 17 日