協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Elastic Kubernetes Service 的受管政策
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。
如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略。
AWS 受管政策:Amazon EKS CNI _ 政策
您可以將附加AmazonEKS_CNI_Policy
至您的IAM實體。在建立 Amazon EC2 節點群組之前,必須將此政策附加到節點IAMIAM角色或特別由 Amazon VPC CNI plugin for Kubernetes. 這樣一來,可以代表您執行動作。我們建議您將政策連接至僅供外掛程式使用的角色。如需詳細資訊,請參閱 分配IPs到Pods與 Amazon VPC CNI 和 配置 Amazon VPC CNI 插件使用 IRSA。
許可詳細資訊
此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:
-
ec2:*NetworkInterface
和ec2:*PrivateIpAddresses
— 允許 Amazon VPC CNI 外掛程式執行動作,例如佈建彈性網路界面和 IP 地址,以Pods便為在 Amazon 中執行的應用程式提供聯網EKS。 -
ec2
讀取動作 — 允許 Amazon VPC CNI 外掛程式執行動作 (例如說明執行個體和子網路),以查看 Amazon VPC 子網路中可用的 IP 地址數量。VPCCNI可以使用每個子網路中的免費 IP 位址來挑選具有最多可用 IP 位址的子網路,以便在建立 elastic network interface 時使用。
若要檢視最新版本的JSON政策文件,請參閱 AWS 受管CNI政策參考指南中的 Amazon EKS _ _ 政策。
AWS 管理策略:mazonEKSCluster策略
您可以附加AmazonEKSClusterPolicy
到您的IAM實體。在建立叢集之前,您必須具有附加此原則的叢集IAM角色。 Kubernetes由 Amazon 管理的叢集代表您EKS撥打其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。
此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:
-
autoscaling
:讀取和更新 Auto Scaling 群組的組態。Amazon 不會使用這些許可,EKS但仍保留在政策中,以確保向後相容性。 -
ec2
— 使用與 Amazon EC2 節點相關聯的磁碟區和網路資源。這是必要的,以便Kubernetes控制平面可以將執行個體加入叢集,並動態佈建和管理Kubernetes持續性EBS磁碟區要求的 Amazon 磁碟區。 -
elasticloadbalancing
:使用 Elastic Load Balancer,並將節點作為目標新增至 Elastic Load Balancers。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
iam
– 建立服務連結角色。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
kms
– 從 AWS KMS中讀取金鑰。這是 Kubernetes 控制平面支援在etcd
中存放的 Kubernetes 秘密之秘密加密的必要條件。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管理mazonEKSCluster策略參考指南》中的策略。
AWS 受管理策略:A mazonEKSFargate PodExecutionRolePolicy
您可以附加AmazonEKSFargatePodExecutionRolePolicy
到您的IAM實體。在建立 Fargate 設定檔之前,您必須先建立 Fargate Pod 執行角色並將此政策連接至該角色。如需詳細資訊,請參閱 步驟 2:建立 Fargate Pod 執行角色 和 定義啟動 AWS Fargate 時的Pods用途。
此政策授予角色許可,這些許可提供對EKSPods在 Fargate 上執行 Amazon 所需的其他 AWS 服務資源的存取權。
許可詳細資訊
此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:
-
ecr
— 允許在 Fargate 上運行的 Pod 提取存儲在 Amazon ECR 中的容器映像。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSFargatePodExecutionRolePolicy中的 A。
AWS 受管理策略:A mazonEKSFor FargateServiceRolePolicy
您無法附加AmazonEKSForFargateServiceRolePolicy
至您的IAM實體。此政策附加至服務連結角色,可EKS讓 Amazon 代表您執行動作。如需詳細資訊,請參閱 AWSServiceRoleforAmazonEKSForFargate。
此政策授予 Amazon 執行 Fargate 任務的必要許EKS可。只有在您擁有 Fargate 節點時才會使用此政策。
許可詳細資訊
此政策包括下列許可,這些許可允許 Amazon EKS 完成以下任務。
-
ec2
:建立和刪除彈性網路介面,並描述彈性網路介面和資源。這是必要的,Amazon EKS Fargate 服務才能設定 Fargate VPC 網繭所需的網路。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSForFargateServiceRolePolicy中的 A。
AWS 管理策略:mazonEKSService策略
您可以附加AmazonEKSServicePolicy
到您的IAM實體。在 2020 年 4 月 16 日之前建立的叢集,需要您建立IAM角色並將此原則附加至該角色。在 2020 年 4 月 16 日或之後建立的叢集不需要您建立角色,也不需要您指派此政策。當您使用具有iam:CreateServiceLinkedRole
權限的IAM主體建立叢集時,會自動為您建立AWS ServiceRoleforAmazonEKS服務連結角色。服務連結角色具有可連接至其中的 AWS 受管理策略:A mazonEKSService RolePolicy。
此政策允許 Amazon EKS 建立和管理必要的資源來操作 Amazon EKS 叢集。
許可詳細資訊
此政策包括下列許可,這些許可允許 Amazon EKS 完成以下任務。
-
eks
– 在您開始更新之後,更新叢集的 Kubernetes 版本。Amazon 不會使用此權限,EKS但仍保留在政策中,以確保向後相容性。 -
ec2
:使用彈性網路介面及其他網路資源和標籤。這是 Amazon 要求設定聯網,EKS以促進節點與Kubernetes控制平面之間的通訊。 -
route53
— 將 a VPC 與託管區域相關聯。這是 Amazon EKS 要求您的Kubernetes叢集API伺服器啟用私有端點聯網。 -
logs
:日誌事件。這是必要的,以便 Amazon EKS 可以將Kubernetes控制平面日誌運送到 CloudWatch. -
iam
– 建立服務連結角色。這是必要的,Amazon 才EKS能代表您建立AWSServiceRoleForAmazonEKS服務連結角色。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管理mazonEKSService策略參考指南》中的策略。
AWS 受管理策略:A mazonEKSService RolePolicy
您無法附加AmazonEKSServiceRolePolicy
至您的IAM實體。此政策附加至服務連結角色,可EKS讓 Amazon 代表您執行動作。如需詳細資訊,請參閱Amazon 的服務連結角色許可 EKS。當您使用具有iam:CreateServiceLinkedRole
權限的IAM主體建立叢集時,系統會自動為您建立AWS ServiceRoleforAmazonEKS服務連結角色,並將此原則附加至該叢集。
此原則允許服務連結角色代表您呼叫 AWS 服務。
許可詳細資訊
此政策包括下列許可,這些許可允許 Amazon EKS 完成以下任務。
-
ec2
— 建立和說明彈性網路界面和 Amazon EC2 執行個體、叢集安全群組,VPC以及建立叢集所需的資訊。 -
iam
— 列出所有附加至IAM角色的受管理原則。這是必要的,Amazon 才EKS能列出並驗證建立叢集所需的所有受管政策和許可。 -
將一個VPC與託管區域建立關聯 — Amazon 要求這樣EKS做才能為Kubernetes叢集API伺服器啟用私有端點聯網。
-
日誌事件 — 這是必需的,這樣 Amazon 才EKS能將Kubernetes控制平面日誌運送到 CloudWatch。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSServiceRolePolicy中的 A。
AWS 管理策略:mazonEKSVPCResource控制器
您可以將AmazonEKSVPCResourceController
原則附加至您的IAM身分識別。如果您使用的是 Pods 的安全群組,您必須將此政策連接至 Amazon EKS 群集IAM角色,以代表您執行動作。
此政策會授予叢集角色許可,以管理節點的彈性網路介面和 IP 地址。
許可詳細資訊
此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:
-
ec2
– 管理彈性網路介面和 IP 地址,以支援 Pod 安全群組和 Windows 節點。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管理原則參考指南》中的mazonEKSVPCResource控制器。
AWS 受管理策略:A mazonEKSWorker NodePolicy
您可以將附加AmazonEKSWorkerNodePolicy
至您的IAM實體。您必須將此政策附加到您在建立允許 Amazon 代表您執行動作的 Amazon EC2 EKS 節點時指定的節點IAM角色。如果您使用建立節點群組eksctl
,它會建立節點IAM角色,並自動將此原則附加至角色。
此政策授予 Amazon EKS Amazon EC2 節點連接到 Amazon EKS 叢集的許可。
許可詳細資訊
此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:
-
ec2
:讀取執行個體磁碟區和網路資訊。這是必要的,以便Kubernetes節點可以描述節點加入 Amazon EKS 叢集所需之 Amazon EC2 資源的相關資訊。 -
eks
:選擇性地將叢集描述為節點引導的一部分。 -
eks-auth:AssumeRoleForPodIdentity
— 允許擷取節點上EKS工作負載的認證。這是EKS網繭識別才能正常運作的必要項目。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSWorkerNodePolicy中的 A。
AWS 受管理的策略: AWSServiceRoleForAmazonEKSNodegroup
您無法附加AWS ServiceRoleForAmazonEKSNodegroup
至您的IAM實體。此政策附加至服務連結角色,可EKS讓 Amazon 代表您執行動作。如需詳細資訊,請參閱Amazon 的服務連結角色許可 EKS。
此政策授予AWS ServiceRoleForAmazonEKSNodegroup
角色許可,允許其在您的帳戶中建立和管理 Amazon EC2 節點群組。
許可詳細資訊
此政策包含下列許可,這些許可允許 Amazon EKS 完成以下任務:
-
ec2
— 使用安全群組、標籤、容量保留和啟動範本。Amazon EKS 受管節點群組必須執行此動作,才能啟用遠端存取組態,以及說明可在受管節點群組中使用的容量保留。此外,Amazon EKS 受管節點群組會代表您建立啟動範本。這是為了設定支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。 -
iam
:建立服務連結角色並傳遞角色。Amazon EKS 受管節點群組需要這樣做,才能在建立受管節點群組時管理要傳遞之角色的執行個體設定檔。作為受管節點群組的一部分啟動的 Amazon EC2 執行個體會使用此執行個體設定檔。Amazon EKS 需要為其他服務 (例如 Amazon EC2 Auto Scaling 群組) 建立服務連結角色。這些許可會用於建立受管節點群組。 -
autoscaling
:使用安全的 Auto Scaling 群組。Amazon EKS 受管節點群組需要這樣做,才能管理支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。它也可用來支援功能,例如在節點群組更新期間終止或回收節點時移出 Pods。
若要檢視JSON政策文件的最新版本,請參閱《 AWS 受管策略參考指南》AWSServiceRoleForAmazonEKSNodegroup中的。
AWS 管理策略:mazonEBSCSIDriver策略
該AmazonEBSCSIDriverPolicy
政策允許 Amazon EBS 容器儲存界面 (CSI) 驅動程式代表您建立、修改、連接、分離和刪除磁碟區。它也授予EBSCSI驅動程式權限,以建立和刪除快照,以及列出您的執行個體、磁碟區和快照。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEBSCSIDriverServiceRolePolicy中的 A。
AWS 管理策略:mazonEFSCSIDriver策略
該AmazonEFSCSIDriverPolicy
政策允許 Amazon EFS 容器儲存界面 (CSI) 代表您建立和刪除存取點。它還授予 Amazon EFS CSI 驅動程式許可,以列出存取點檔案系統、掛載目標和 Amazon EC2 可用區域。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEFSCSIDriverServiceRolePolicy中的 A。
AWS 受管理策略:A mazonEKSLocal OutpostClusterPolicy
您可以將此原則附加至IAM實體。建立本機叢集之前,您必須將此原則附加至叢集角色。 Kubernetes由 Amazon 管理的叢集代表您EKS撥打其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。
AmazonEKSLocalOutpostClusterPolicy
包含以下許可:
-
ec2
— Amazon EC2 執行個體成功加入叢集做為控制平面執行個體所需的許可。 -
ssm
— 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon 會使用該執行個體EKS進行通訊和管理帳戶中的本機叢集。 -
logs
— 允許執行個體將日誌推送到 Amazon CloudWatch。 -
secretsmanager
— 允許執行個體從中安全地取得和刪除控制平面執行個體的啟動程序資料 AWS Secrets Manager。 -
ecr
:允許在控制平面執行個體上執行的 Pods 和容器提取存放在 Amazon Elastic Container Registry 中的容器映像。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSLocalOutpostClusterPolicy中的 A。
AWS 受管理策略:A mazonEKSLocal OutpostServiceRolePolicy
您無法將此原則附加至您的IAM實體。當您使用具有iam:CreateServiceLinkedRole
權限的IAM主體建立叢集時,Amazon EKS 會自動為您建立AWSServiceRoleforAmazonEKSLocalOutpost服務連結角色,並將此政策附加至該叢集。此原則允許服務連結角色代表您為本機叢集呼叫 AWS 服務。
AmazonEKSLocalOutpostServiceRolePolicy
包含以下許可:
-
ec2
— 允許 Amazon 使EKS用安全性、網路和其他資源,在您的帳戶中成功啟動和管理控制平面執行個體。 -
ssm
— 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon 會使用該執行個體EKS進行通訊和管理帳戶中的本機叢集。 -
iam
— 允許 Amazon EKS 管理與控制平面執行個體關聯的執行個體設定檔。 -
secretsmanager
— 允許 Amazon EKS 將控制平面執行個體的啟動程序資料放入其中,以 AWS Secrets Manager 便在執行個體啟動期間安全地參考。 -
outposts
— 允許 Amazon 從您EKS的帳戶獲取前哨信息,以便在 Outpost 中成功啟動本地集群。
若要檢視最新版本的JSON原則文件,請參閱《 AWS 受管策略參考指南》mazonEKSLocalOutpostServiceRolePolicy中的 A。
Amazon EKS 更新受 AWS 管政策
檢視有關 Amazon AWS 受管政策更新的詳細資訊,EKS因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱 Amazon EKS 文件歷史記錄頁面上的動RSS態消息。
變更 | 描述 | 日期 |
---|---|---|
已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup. |
新增 |
2024年8月21 日 |
已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup. |
添加了允 |
2024年6月27日 |
Amazon EKS CNI _ 政策 — 更新到現有政策 |
Amazon EKS 添加了新的 VPCCNI可以使用每個子網路中的免費 IP 位址來挑選具有最多可用 IP 位址的子網路,以便在建立 elastic network interface 時使用。 |
2024年3月4日 |
A mazonEKSWorker NodePolicy-更新到現有策略 |
Amazon 新EKS增了允許EKS網繭身分識別的新許可。 Amazon EKS 網繭身分識別代理程式使用節點角色。 |
2023 年 11 月 26 日 |
AWS 介紹了 |
2023 年 7 月 26 日 | |
已新增權限至「mazonEKSCluster原則」。 |
新增允許 Amazon EKS 在子網路自動探索期間取得 AZ 詳細資料的 |
2023 年 2 月 7 日 |
更新策略中的mazonEBSCSIDriver政策條件。 |
已移除在 |
2022 年 11 月 17 日 |
為 A 添加了權限mazonEKSLocalOutpostServiceRolePolicy。 |
已新增 |
2022 年 10 月 24 日 |
在 A 中更新 Amazon 彈性容器註冊表許可mazonEKSLocalOutpostClusterPolicy。 |
已將動作 |
2022 年 10 月 20 日 |
為 A 添加了權限mazonEKSLocalOutpostClusterPolicy。 |
已新增 |
2022 年 8 月 31 日 |
AWS 介紹了 |
2022 年 8 月 24 日 | |
AWS 介紹了 |
2022 年 8 月 23 日 | |
AWS 介紹了 |
2022 年 4 月 4 日 | |
為 A 添加了權限mazonEKSWorkerNodePolicy。 |
新增 |
2022 年 3 月 21 日 |
已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup. |
添加了允 |
2021 年 12 月 13 日 |
已新增權限至「mazonEKSCluster原則」。 |
新增 |
2021 年 6 月 17 日 |
Amazon EKS 開始跟踪更改。 |
Amazon EKS 開始追蹤其 AWS 受管政策的變更。 |
2021 年 6 月 17 日 |