協助改善此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要提供此使用者指南,請選擇位於每個頁面右窗格的 GitHub 上的編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新 AWS 服務啟動或新 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策:AmazonEKS_CNI_Policy
您可以將 AmazonEKS_CNI_Policy 連接到 IAM 實體。在您建立 Amazon EC2 節點群組之前,此政策必須連接到節點 IAM 角色,或 IAM 角色,該角色專門由適用於 Kubernetes 的 Amazon VPC CNI 外掛程式使用。這樣一來,可以代表您執行動作。建議您將政策連接至僅由外掛程式使用的角色。如需詳細資訊,請參閱 使用 Amazon VPC CNI 將 IPs 指派給 Pod 和 設定 Amazon VPC CNI 外掛程式以使用 IRSA。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2:*NetworkInterface和ec2:*PrivateIpAddresses– 允許 Amazon VPC CNI 外掛程式執行動作,例如為 Pod 佈建彈性網路介面和 IP 地址,為在 Amazon EKS 中執行的應用程式提供聯網。 -
ec2讀取動作 – 允許 Amazon VPC CNI 外掛程式執行動作,例如描述執行個體和子網路,以查看 Amazon VPC 子網路中的可用 IP 地址數量。VPC CNI 可以使用每個子網路中的可用 IP 地址,來挑選具有建立彈性網路介面時要使用之最可用 IP 地址的子網路。
若要檢視 JSON 政策文件的最新版本,請參閱《 受管政策參考指南》中的 AmazonEKS_CNI_Policy。 AWS
AWS 受管政策:AmazonEKSClusterPolicy
您可以將 AmazonEKSClusterPolicy 連接到 IAM 實體。建立叢集之前,您必須具有連接了此政策的叢集 IAM 角色。由 Amazon EKS 管理的 Kubernetes 叢集會代表您呼叫其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
autoscaling– 讀取和更新 Auto Scaling 群組的組態。Amazon EKS 不會使用這些許可,但會保留在政策中,以確保回溯相容性。 -
ec2– 使用與 Amazon EC2 節點相關聯的磁碟區和網路資源。這是必要項目,以便 Kubernetes 控制平面可以將執行個體加入叢集,並動態佈建和管理 Kubernetes 持久性磁碟區請求的 Amazon EBS 磁碟區。 -
elasticloadbalancing– 使用 Elastic Load Balancer 並將節點新增至它們做為目標。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
iam– 建立服務連結角色。這是必要項目,以便 Kubernetes 控制平面可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
kms– 從 AWS KMS 讀取金鑰。這是 Kubernetes 控制平面支援在etcd中存放的 Kubernetes 秘密之秘密加密的必要條件。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSClusterPolicy。
AWS 受管政策:AmazonEKSFargatePodExecutionRolePolicy
您可以將 AmazonEKSFargatePodExecutionRolePolicy 連接到 IAM 實體。您必須先建立 Fargate Pod 執行角色,並將此政策連接至設定檔,才能建立 Fargate 設定檔。如需詳細資訊,請參閱 步驟 2:建立 Fargate Pod 執行角色 和 定義啟動時使用 AWS Fargate 的 Pod。
此政策授予角色許可,該許可提供在 Fargate 上執行 Amazon EKS Pod 所需的其他服務 AWS 資源的存取權。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ecr– 允許在 Fargate 上執行的 Pod 提取存放在 Amazon ECR 中的容器映像。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSFargatePodExecutionRolePolicy。
AWS 受管政策:AmazonEKSForFargateServiceRolePolicy
您無法AmazonEKSForFargateServiceRolePolicy連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱AWSServiceRoleforAmazonEKSForFargate。
此政策授予 Amazon EKS 執行 Fargate 任務的必要許可。只有在您擁有 Fargate 節點時才會使用此政策。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
ec2– 建立和刪除彈性網路界面,並描述彈性網路界面和資源。這是必要的,以便 Amazon EKS Fargate 服務可以設定 Fargate Pod 所需的 VPC 聯網。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSForFargateServiceRolePolicy。
AWS 受管政策:AmazonEKSComputePolicy
您可以將 AmazonEKSComputePolicy 連接到 IAM 實體。您可以將此政策連接至您的叢集 IAM 角色,以擴展 EKS 可在帳戶中管理的資源。
此政策會授予 Amazon EKS 為 EKS 叢集建立和管理 EC2 執行個體所需的許可,以及設定 EC2 所需的 IAM 許可。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2許可:-
ec2:CreateFleet和ec2:RunInstances- 允許為 EKS 叢集節點建立 EC2 執行個體並使用特定 EC2 資源 (影像、安全群組、子網路)。 -
ec2:CreateLaunchTemplate- 允許為 EKS 叢集節點建立 EC2 啟動範本。 -
此政策也包含限制使用這些 EC2 許可的條件,以使用 EKS 叢集名稱和其他相關標籤標記的資源。
-
ec2:CreateTags- 允許將標籤新增至CreateFleet、RunInstances和CreateLaunchTemplate動作建立的 EC2 資源。
-
-
iam許可:-
iam:AddRoleToInstanceProfile- 允許將 IAM 角色新增至 EKS 運算執行個體描述檔。 -
iam:PassRole- 允許將必要的 IAM 角色傳遞至 EC2 服務。
-
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSComputePolicy。
AWS 受管政策:AmazonEKSNetworkingPolicy
您可以將 AmazonEKSNetworkingPolicy 連接到 IAM 實體。您可以將此政策連接至您的叢集 IAM 角色,以擴展 EKS 可在帳戶中管理的資源。
此政策旨在授予 Amazon EKS 建立和管理 EKS 叢集網路介面的必要許可,讓控制平面和工作者節點可以正常通訊和運作。
許可詳細資訊
此政策授予下列許可,以允許 Amazon EKS 管理叢集的網路介面:
-
ec2網路界面許可:-
ec2:CreateNetworkInterface- 允許建立 EC2 網路介面。 -
此政策包含限制使用此許可的條件,以網路介面為標記 EKS 叢集名稱和 Kubernetes CNI 節點名稱。
-
ec2:CreateTags- 允許將標籤新增至CreateNetworkInterface動作建立的網路界面。
-
-
ec2網路介面管理許可:-
ec2:AttachNetworkInterface、ec2:DetachNetworkInterface- 允許將網路介面連接到 EC2 執行個體並分離。 -
ec2:UnassignPrivateIpAddresses、ec2:UnassignIpv6Addresses、ec2:AssignPrivateIpAddresses、ec2:AssignIpv6Addresses- 允許管理網路介面的 IP 地址指派。 -
這些許可僅限於以 EKS 叢集名稱標記的網路介面。
-
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSNetworkingPolicy。
AWS 受管政策:AmazonEKSBlockStoragePolicy
您可以將 AmazonEKSBlockStoragePolicy 連接到 IAM 實體。您可以將此政策連接至您的叢集 IAM 角色,以擴展 EKS 可在帳戶中管理的資源。
此政策授予 Amazon EKS 建立、管理和維護 EKS 叢集 EC2 磁碟區和快照的必要許可,讓控制平面和工作者節點能夠根據 Kubernetes 工作負載的需求佈建和使用持久性儲存。
許可詳細資訊
此 IAM 政策授予下列許可,以允許 Amazon EKS 管理 EC2 磁碟區和快照:
-
ec2磁碟區管理許可:-
ec2:AttachVolume、ec2:DetachVolume、ec2:ModifyVolume、ec2:EnableFastSnapshotRestores- 允許連接、分離、修改和啟用 EC2 磁碟區的快速快照還原。 -
這些許可僅限於以 EKS 叢集名稱標記的磁碟區。
-
ec2:CreateTags- 允許將標籤新增至 和CreateSnapshot動作建立的 EC2 磁碟區CreateVolume和快照。
-
-
ec2磁碟區建立許可:-
ec2:CreateVolume- 允許建立新的 EC2 磁碟區。 -
此政策包含限制使用此許可的條件,以使用以 EKS 叢集名稱和其他相關標籤標記的磁碟區。
-
ec2:CreateSnapshot- 允許建立新的 EC2 磁碟區快照。 -
此政策包含限制使用此許可的條件,以使用以 EKS 叢集名稱和其他相關標籤標記的快照。
-
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSBlockStoragePolicy。
AWS 受管政策:AmazonEKSLoadBalancingPolicy
您可以將 AmazonEKSLoadBalancingPolicy 連接到 IAM 實體。您可以將此政策連接至您的叢集 IAM 角色,以擴展 EKS 可在帳戶中管理的資源。
此 IAM 政策授予 Amazon EKS 使用各種 AWS 服務的必要許可,以管理 Elastic Load Balancer (ELBs) 和相關資源。
許可詳細資訊
此政策授予的金鑰許可如下:
-
elasticloadbalancing:允許建立、修改和管理 Elastic Load Balancer 和目標群組。這包括建立、更新和刪除負載平衡器、目標群組、接聽程式和規則的許可。 -
ec2:允許建立和管理 Kubernetes 控制平面將執行個體加入叢集和管理 Amazon EBS 磁碟區所需的安全群組。也允許描述和列出 EC2 資源,例如執行個體、VPCs、子網路、安全群組和其他聯網資源。 -
iam:允許為 Elastic Load Balancing 建立服務連結角色,這是 Kubernetes 控制平面動態佈建 ELBs 所需的角色。 -
kms:允許從 AWS KMS 讀取金鑰,這是 Kubernetes 控制平面支援加密存放在 等項目中的 Kubernetes 秘密所需的金鑰。 -
wafv2和shield:允許關聯和取消關聯 Web ACLs,以及建立/刪除 Elastic Load Balancer AWS 的 Shield 保護。 -
cognito-idp、acm和elasticloadbalancing:授予許可來描述使用者集區用戶端、列出和描述憑證,以及描述目標群組,這些是 Kubernetes 控制平面管理 Elastic Load Balancer 所需的。
此政策也包含數個條件檢查,以確保使用 eks:eks-cluster-name標籤,將許可範圍限定為要管理的特定 EKS 叢集。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSLoadBalancingPolicy。
AWS 受管政策:AmazonEKSServicePolicy
您可以將 AmazonEKSServicePolicy 連接到 IAM 實體。在 2020 年 4 月 16 日之前建立的叢集,需要您建立 IAM 角色並將此政策連接到該角色。在 2020 年 4 月 16 日或之後建立的叢集,不需要您建立角色,也不需要您指派此政策。當您使用具有 iam:CreateServiceLinkedRole許可的 IAM 主體建立叢集時,會自動為您建立 AWSServiceRoleforAmazonEKS 服務連結角色。服務連結角色具有 受管政策:AmazonEKSServiceRolePolicy 連接到該角色。
此政策允許 Amazon EKS 建立和管理操作 Amazon EKS 叢集所需的資源。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
eks– 在您啟動更新後,更新叢集的 Kubernetes 版本。Amazon EKS 不會使用此許可,但會保留在政策中,以確保回溯相容性。 -
ec2– 使用彈性網路界面和其他網路資源和標籤。Amazon EKS 要求這樣做,以設定可促進節點與 Kubernetes 控制平面之間的通訊的網路。讀取安全群組的相關資訊。更新安全群組上的標籤。 -
route53– 將 VPC 與託管區域建立關聯。Amazon EKS 必須執行這項操作,才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。 -
logs– 記錄事件。這是必要項目,以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。 -
iam– 建立服務連結角色。這是必需的,以便 Amazon EKScan 代表您建立 Amazon EKS 的服務連結角色許可 服務連結角色。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSServicePolicy。
AWS 受管政策:AmazonEKSServiceRolePolicy
您無法AmazonEKSServiceRolePolicy連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱Amazon EKS 的服務連結角色許可。當您使用具有 iam:CreateServiceLinkedRole許可的 IAM 主體建立叢集時,系統會自動為您建立 AWSServiceRoleforAmazonEKS 服務連結角色,並且此政策會連接到叢集。
此政策允許服務連結角色代表您呼叫 AWS 服務。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
ec2– 建立和描述建立叢集所需的彈性網路介面和 Amazon EC2 執行個體、叢集安全群組和 VPC。如需詳細資訊,請參閱檢視叢集的 Amazon EKS 安全群組需求。讀取安全群組的相關資訊。更新安全群組上的標籤。 -
ec2自動模式 – 終止 EKS Auto Mode 建立的 EC2 執行個體。如需詳細資訊,請參閱使用 EKS Auto 模式自動化叢集基礎設施。 -
iam– 列出連接至 IAM 角色的所有受管政策。這是必要項目,以便 Amazon EKS 可以列出和驗證建立叢集所需的所有受管政策和許可。 -
將 VPC 與託管區域建立關聯 – Amazon EKS 必須執行這項操作,才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。
-
Log event (日誌事件) – 這是必要項目,以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
-
放置指標 – 這是必要的,以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
-
eks- 管理叢集存取項目和政策,允許精細控制誰可以存取 EKS 資源,以及他們可以執行哪些動作。這包括關聯運算、聯網、負載平衡和儲存操作的標準存取政策。 -
elasticloadbalancing- 建立、管理和刪除與 EKS 叢集相關聯的負載平衡器及其元件 (接聽程式、目標群組、憑證)。檢視負載平衡器屬性和運作狀態。 -
events- 建立和管理 EventBridge 規則,以監控與 EKS 叢集相關的 EC2 和 AWS 運作狀態事件,進而自動回應基礎設施變更和運作狀態提醒。 -
iam- 使用「eks」字首管理 EC2 執行個體描述檔,包括建立、刪除和角色關聯,這是 EKS 節點管理的必要項目。 -
pricing&shield- 存取 AWS 定價資訊和 Shield 保護狀態,為 EKS 資源啟用成本管理和進階安全功能。 -
資源清除 - 在叢集清除操作期間安全地刪除 EKS 標記的資源,包括磁碟區、快照、啟動範本和網路介面。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSServiceRolePolicy。
AWS 受管政策:AmazonEKSVPCResourceController
您可將 AmazonEKSVPCResourceController 政策連接到 IAM 身分。如果您使用 Pod 的安全群組,您必須將此政策連接至 Amazon EKS 叢集 IAM 角色,才能代表您執行動作。
此政策會授予叢集角色許可,以管理節點的彈性網路介面和 IP 地址。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 管理彈性網路介面和 IP 地址,以支援 Pod 安全群組和 Windows 節點。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSVPCResourceController。
AWS 受管政策:AmazonEKSWorkerNodePolicy
您可以將 AmazonEKSWorkerNodePolicy 連接到 IAM 實體。您必須將此政策連接至您建立 Amazon EC2 節點時指定的 IAM 角色,從而可讓 Amazon EKS 代表您執行動作。如果您使用 eksctl 建立節點群組,則其會建立節點 IAM 角色並自動將此政策連接至角色。
此政策授予 Amazon EKS Amazon EC2 節點許可,以連接到 Amazon EKS 叢集。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 讀取執行個體磁碟區和網路資訊。如此一來,Kubernetes 節點才能描述節點加入 Amazon EKS 叢集所需的 Amazon EC2 資源相關資訊,這是必要的。 -
eks– 選擇性地將叢集描述為節點引導的一部分。 -
eks-auth:AssumeRoleForPodIdentity– 允許擷取節點上 EKS 工作負載的登入資料。必須要有這項,EKS Pod 身分識別才能正常運作。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSWorkerNodePolicy。
AWS 受管政策:AmazonEKSWorkerNodeMinimalPolicy
您可以將 AmazonEKSWorkerNodeMinimalPolicy 連接至您的 IAM 實體。您可以將此政策連接至您在建立 Amazon EC2 節點時指定的節點 IAM 角色,以允許 Amazon EKS 代表您執行動作。
此政策授予 Amazon EKS Amazon EC2 節點許可,以連接到 Amazon EKS 叢集。相較於 AmazonEKSWorkerNodePolicy,此政策的許可較少。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
eks-auth:AssumeRoleForPodIdentity- 允許在節點上擷取 EKS 工作負載的登入資料。必須要有這項,EKS Pod 身分識別才能正常運作。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSWorkerNodePolicy。
AWS 受管政策:AWSServiceRoleForAmazonEKSNodegroup
您無法AWSServiceRoleForAmazonEKSNodegroup連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱Amazon EKS 的服務連結角色許可。
此政策可授予 AWSServiceRoleForAmazonEKSNodegroup 角色許可,允許它在您的帳戶中建立和管理 Amazon EC2 節點群組。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 使用安全群組、標籤、容量保留和啟動範本。這是 Amazon EKS 受管節點群組啟用遠端存取組態,以及描述可用於受管節點群組的容量保留所需的。此外,Amazon EKS 受管節點群組代表您建立啟動範本。這是為了設定支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。 -
iam– 建立服務連結角色並傳遞角色。Amazon EKS 受管節點群組必須執行這項操作,才能管理建立受管節點群組時所傳遞之角色的執行個體描述檔。此執行個體描述檔適用於作為受管節點群組一部分的 Amazon EC2 執行個體。Amazon EKS 需要為其他服務 (例如 Amazon EC2 Auto Scaling 群組) 建立服務連結角色。這些許可會用於建立受管節點群組。 -
autoscaling– 使用安全 Auto Scaling 群組。Amazon EKS 受管節點群組必須執行這項操作,才能管理支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。它也用於支援功能,例如在節點群組更新期間終止或回收節點時移出 Pod。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AWSServiceRoleForAmazonEKSNodegroup。
AWS 受管政策:AmazonEBSCSIDriverPolicy
AmazonEBSCSIDriverPolicy 政策允許 Amazon EBS 容器儲存介面 (CSI) 驅動程式代表您建立、修改、連接、分離和刪除磁碟區。這包括修改現有磁碟區的標籤,以及在 EBS 磁碟區上啟用快速快照還原 (FSR)。它還授予 EBS CSI 驅動程式建立、還原和刪除快照,以及列出執行個體、磁碟區和快照的許可。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEBSCSIDriverServiceRolePolicy。
AWS 受管政策:AmazonEFSCSIDriverPolicy
AmazonEFSCSIDriverPolicy 政策可讓 Amazon EFS 容器儲存介面 (CSI) 代表您建立和刪除存取點。它還授予 Amazon EFS CSI 驅動程式許可,列出您的存取點檔案系統、掛載目標,以及 Amazon EC2 可用區域。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEFSCSIDriverServiceRolePolicy。
AWS 受管政策:AmazonEKSLocalOutpostClusterPolicy
您可將此政策連接至 IAM 實體。建立本機叢集之前,您必須將此政策連接至叢集角色。由 Amazon EKS 管理的 Kubernetes 叢集會代表您呼叫其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。
AmazonEKSLocalOutpostClusterPolicy 包含以下許可:
-
ec2讀取動作 – 允許控制平面執行個體描述可用區域、路由表、執行個體和網路介面屬性。Amazon EC2 執行個體成功加入叢集做為控制平面執行個體所需的許可。 -
ssm– 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon EKS 會使用該執行個體來通訊和管理您帳戶中的本機叢集。 -
logs– 允許執行個體將日誌推送至 Amazon CloudWatch。 -
secretsmanager– 允許執行個體從 AWS Secrets Manager 安全地取得和刪除控制平面執行個體的引導資料。 -
ecr– 允許在控制平面執行個體上執行的 Pod 和容器提取存放在 Amazon Elastic Container Registry 中的容器映像。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSLocalOutpostClusterPolicy。
AWS 受管政策:AmazonEKSLocalOutpostServiceRolePolicy
您無法將此政策連接至 IAM 實體。當您使用具有 iam:CreateServiceLinkedRole許可的 IAM 主體建立叢集時,Amazon EKS 會自動為您建立 AWSServiceRoleforAmazonEKSLocalOutpost 服務連結角色,並將此政策連接至該角色。此政策允許服務連結角色代表您為本機叢集呼叫 AWS 服務。
AmazonEKSLocalOutpostServiceRolePolicy 包含以下許可:
-
ec2– 允許 Amazon EKS 使用安全、網路和其他資源,以成功啟動和管理帳戶中的控制平面執行個體。 -
ssm:允許 Amazon EC2 Systems Manager 連線到控制平面執行個體,Amazon EKS 使用它來通訊和管理您帳戶中的本機叢集。 -
iam– 允許 Amazon EKS 管理與控制平面執行個體相關聯的執行個體描述檔。 -
secretsmanager- 允許 Amazon EKS 將控制平面執行個體的引導資料放入 AWS Secrets Manager,以便在執行個體引導期間安全地參考。 -
outposts– 允許 Amazon EKS 從您的帳戶取得 Outpost 資訊,以在 Outpost 中成功啟動本機叢集。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管政策參考指南》中的 AmazonEKSLocalOutpostServiceRolePolicy。
AWS 受管政策的 Amazon EKS 更新
檢視自此服務開始追蹤 Amazon EKS AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon EKS 文件歷程記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
|
新增 AmazonEKSServiceRolePolicy 的許可。 |
新增終止 EKS Auto Mode 建立之 EC2 執行個體的許可。 |
2025 年 2 月 28 日 |
|
新增 AmazonEBSCSIDriverPolicy 的許可。 |
新增了授權 EBS CSI 驅動程式還原所有快照的新陳述式。現有政策先前允許這種情況,但由於 IAM 的處理方式有所變更,因此需要新的明確陳述式 新增 EBS CSI 驅動程式修改現有磁碟區標籤的功能。EBS CSI 驅動程式可以透過 Kubernetes VolumeAttributesClasses 中的參數修改現有磁碟區的標籤。 新增 EBS CSI 驅動程式在 EBS 磁碟區上啟用快速快照還原 (FSR) 的功能。EBS CSI 驅動程式可以透過 Kubernetes 儲存類別中的參數在新磁碟區上啟用 FSR。 |
2025 年 1 月 13 日 |
|
更新 |
2024 年 12 月 26 日 |
|
|
更新 |
2024 年 11 月 22 日 |
|
|
新增 的 |
2024 年 11 月 21 日 |
|
|
已更新 |
2024 年 11 月 20 日 |
|
|
EKS 已更新 AWS 受管政策 |
2024 年 11 月 16 日 |
|
|
EKS 已更新 AWS 受管政策 |
2024 年 11 月 7 日 |
|
|
AWS 推出 |
2024 年 11 月 1 日 |
|
|
新增許可至 |
新增允許 Amazon EKS 將拓撲資訊附加至節點做為標籤的 |
2024 年 11 月 1 日 |
|
AWS 推出 |
2024 年 10 月 30 日 |
|
|
AWS 推出 |
2024 年 10 月 30 日 |
|
|
新增 AmazonEKSServiceRolePolicy 的許可。 |
新增允許 Amazon EKS 將指標發佈至 Amazon CloudWatch 的 |
2024 年 10 月 29 日 |
|
AWS 推出 |
2024 年 10 月 28 日 |
|
|
新增許可至 |
新增 |
2024 年 10 月 10 日 |
|
AWS 推出 |
2024 年 10 月 3 日 |
|
|
新增 |
2024 年 8 月 21 日 |
|
|
新增允許 Amazon EKS 描述使用者帳戶中容量保留的 |
2024 年 6 月 27 日 |
|
|
AmazonEKS_CNI_Policy – 更新現有政策 |
Amazon EKS 新增了新的 |
2024 年 3 月 4 日 |
|
AmazonEKSWorkerNodePolicy – 更新至現有政策 |
Amazon EKS 新增了新的許可來允許 EKS Pod 身分識別。Amazon EKS Pod 身分識別代理程式使用節點角色。 |
2023 年 11 月 26 日 |
|
AWS 推出 |
2023 年 7 月 26 日 |
|
|
已新增許可至 AmazonEKSClusterPolicy。 |
在建立負載平衡器時,新增允許 Amazon EKS 在子網路自動探索期間取得 AZ 詳細資訊的 |
2023 年 2 月 7 日 |
|
已更新 AmazonEBSCSIDriverPolicy 中的政策條件。 |
已移除在 |
2022 年 11 月 17 日 |
|
已新增 |
2022 年 10 月 24 日 |
|
|
更新 AmazonEKSLocalOutpostClusterPolicy 中的 Amazon Elastic Container Registry 許可。 |
已將動作 |
2022 年 10 月 20 日 |
|
已新增 |
2022 年 8 月 31 日 |
|
|
AWS 推出 |
2022 年 8 月 24 日 |
|
|
AWS 推出 |
2022 年 8 月 23 日 |
|
|
引進 Amazon EBS CSI Driver Policy (Amazon EBS CSI 驅動程式政策)。 |
AWS 推出 |
2022 年 4 月 4 日 |
|
已新增許可至 AmazonEKSWorkerNodePolicy。 |
已新增 |
2022 年 3 月 21 日 |
|
已新增 |
2021 年 12 月 13 日 |
|
|
已新增許可至 AmazonEKSClusterPolicy。 |
已新增 |
2021 年 6 月 17 日 |
|
Amazon EKS 已開始追蹤變更。 |
Amazon EKS 開始追蹤其 AWS 受管政策的變更。 |
2021 年 6 月 17 日 |
