Berechtigungen von Zugriffsrichtlinien überprüfen - Amazon EKS
Alle Richtlinien auflistenEKSAdminAmazon-RichtlinieAmazon EKSCluster AdminPolicyAmazon EKSAdmin ViewPolicyEKSEditAmazon-RichtlinieEKSViewAmazon-RichtlinieAmazon EKSSecret ReaderPolicyAmazon EKSAuto NodePolicyAmazon EKSBlock StoragePolicyAmazon EKSLoad BalancingPolicyEKSNetworkingAmazon-RichtlinieEKSComputeAmazon-RichtlinieAmazon EKSBlock StorageClusterPolicyAmazon EKSCompute ClusterPolicyAmazon EKSLoad BalancingClusterPolicyAmazon EKSNetworking ClusterPolicyEKSHybridAmazon-RichtlinieAmazon EKSCluster InsightsPolicyAWSBackupFullAccessPolicyForBackupAWSBackupFullAccessPolicyForRestoreAmazon EKSACKPolicyEKSArgoCDClusterAmazon-RichtlinieAmazon EKSArgo CDPolicyAmazon EKSKROPolicyAktualisierungen für Zugriffsrichtlinien

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Berechtigungen von Zugriffsrichtlinien überprüfen

Zugriffsrichtlinien beinhalten rules, die Kubernetes verbs (Berechtigungen) und resources enthalten. Zugriffsrichtlinien beinhalten keine IAM-Berechtigungen oder -Ressourcen. Ähnlich wie bei Kubernetes Role und ClusterRole-Objekten beinhalten Zugriffsrichtlinien nur allow rules. Der Inhalt einer Zugriffsrichtlinie kann nicht geändert werden. Sie können keine eigenen Zugriffsrichtlinien erstellen. Wenn die Berechtigungen in den Zugriffsrichtlinien Ihre Anforderungen nicht erfüllen, können Sie Kubernetes-RBAC-Objekte erstellen und Gruppennamen für Ihre Zugriffseinträge angeben. Weitere Informationen finden Sie unter Zugriffseinträge erstellen. Die in den Zugriffsrichtlinien enthaltenen Berechtigungen ähneln den Berechtigungen in den benutzerorientierten Cluster-Rollen von Kubernetes. Weitere Informationen finden Sie unterBenutzerorientierte Rollen in der Kubernetes-Dokumentation.

Alle Richtlinien auflisten

Verwenden Sie eine der auf dieser Seite aufgeführten Zugriffsrichtlinien oder rufen Sie mit der AWS CLI eine Liste aller verfügbaren Zugriffsrichtlinien ab:

aws eks list-access-policies

Die erwartete Ausgabe sollte wie folgt aussehen (der Kürze halber abgekürzt):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

EKSAdminAmazon-Richtlinie

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal die meisten Berechtigungen für Ressourcen erteilen. Wenn dies einem Zugriffseintrag zugeordnet ist, umfasst sein Zugriffsbereich normalerweise einen oder mehrere Kubernetes-Namespaces. Wenn ein IAM-Prinzipal über Administratorzugriff auf alle Ressourcen in Ihrem Cluster verfügen soll, ordnen Sie die Zugriffsrichtlinie Amazon EKSCluster AdminPolicy stattdessen Ihrem Zugriffseintrag zu.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get,list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get,list, watch

Amazon EKSCluster AdminPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipaladministrator Zugriff auf einen Cluster gewähren. Wenn dies einem Zugriffseintrag zugeordnet ist, umfasst der Zugriffsbereich in der Regel keinen Kubernetes-Namespace, sondern den Cluster. Wenn Sie möchten, dass ein IAM-Prinzipal einen eingeschränkteren Verwaltungsbereich hat, sollten Sie stattdessen die EKSAdminAmazon-Richtlinie-Zugriffsrichtlinie mit Ihrem Zugriffseintrag verknüpfen.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes-API-Gruppen Kubernetes, keine Ressource URLs Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

*

*

*

*

*

Amazon EKSAdmin ViewPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal Zugriff auf list/view alle Ressourcen in einem Cluster gewähren. Beachten Sie, dass dies Kubernetes-Geheimnisse umfasst.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

*

*

get, list, watch

EKSEditAmazon-Richtlinie

Diese Zugriffsrichtlinie umfasst Berechtigungen, mit denen ein IAM-Prinzipal die meisten Kubernetes-Ressourcen bearbeiten kann.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

EKSViewAmazon-Richtlinie

Diese Zugriffsrichtlinie umfasst Berechtigungen, mit denen ein IAM-Prinzipal die meisten Kubernetes-Ressourcen anzeigen kann.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, esourcequotas/status

get, list, watch

namespaces

get, list, watch

Amazon EKSSecret ReaderPolicy

Diese Zugriffsrichtlinie beinhaltet Berechtigungen, die es einem IAM-Prinzipal ermöglichen, Kubernetes Secrets zu lesen.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

secrets

get, list, watch

Amazon EKSAuto NodePolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen Amazon-EKS-Komponenten die folgenden Aufgaben ausführen können:

  • kube-proxy – Überwachen Sie Netzwerkendpunkte und -services und verwalten Sie zugehörige Ereignisse. Dies ermöglicht eine Cluster-weite Netzwerk-Proxy-Funktionalität.

  • ipamd— Verwaltung von AWS VPC-Netzwerkressourcen und Container-Netzwerkschnittstellen (CNI). Dadurch kann der IP-Adressverwaltungs-Daemon die Pod-Vernetzung verwalten.

  • coredns – Greifen Sie auf Ressourcen zur Serviceerkennung wie Endpunkte und Services zu. Dies ermöglicht die DNS-Auflösung innerhalb des Clusters.

  • ebs-csi-driver – Arbeiten Sie mit speicherbezogenen Ressourcen für Amazon-EBS-Volumes. Dies ermöglicht die dynamische Bereitstellung und Anbindung von persistenten Volumes.

  • neuron— Überwachen Sie Knoten und Pods für AWS Neuron-Geräte. Dies ermöglicht die Verwaltung von AWS Inferentia- und Trainium-Beschleunigern.

  • node-monitoring-agent – Zugriff auf Knotendiagnosen und Ereignisse. Dies ermöglicht die Überwachung des Cluster-Zustands und die Erfassung von Diagnosedaten.

Jede Komponente verwendet ein dediziertes Servicekonto und ist auf die für ihre spezifische Funktion erforderlichen Berechtigungen beschränkt.

Wenn Sie eine Node-IAM-Rolle in einem manuell angeben NodeClass, müssen Sie einen Zugriffseintrag erstellen, der die neue Node-IAM-Rolle dieser Zugriffsrichtlinie zuordnet.

Amazon EKSBlock StoragePolicy

Anmerkung

Diese Richtlinie ist nur für AWS dienstbezogene Rollen vorgesehen und kann nicht für vom Kunden verwaltete Rollen verwendet werden.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS die Leader-Wahl und die Koordinierung von Ressourcen für Speichervorgänge verwalten kann:

  • coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können EKS-Speicherkomponenten ihre Aktivitäten über einen Mechanismus für die Leader-Wahl Cluster-weit koordinieren.

Die Richtlinie gilt für bestimmte Lease-Ressourcen, die von den EKS-Speicherkomponenten verwendet werden, um Konflikte beim Zugriff auf andere Koordinierungsressourcen im Cluster zu vermeiden.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Blockspeicherfunktion ordnungsgemäß funktioniert.

Amazon EKSLoad BalancingPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS Ressourcen für die Leader-Wahl zum Load Balancing verwalten kann:

  • coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können die EKS-Komponenten für das Load Balancing durch die Leader-Wahl Aktivitäten über mehrere Replikate hinweg koordinieren.

Die Richtlinie ist speziell auf das Load Balancing von Lease-Ressourcen ausgerichtet, um eine ordnungsgemäße Koordination sicherzustellen und gleichzeitig den Zugriff auf andere Leasing-Ressourcen im Cluster zu verhindern.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Netzwerkfunktion ordnungsgemäß funktioniert.

EKSNetworkingAmazon-Richtlinie

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS Ressourcen für die Leader-Wahl für die Vernetzung verwalten kann:

  • coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können EKS-Netzwerkkomponenten die Aktivitäten zur IP-Adresszuweisung durch die Leader-Wahl koordinieren.

Die Richtlinie ist speziell auf die Vernetzung von Lease-Ressourcen ausgerichtet, um eine ordnungsgemäße Koordination zu gewährleisten und gleichzeitig den Zugriff auf andere Lease-Ressourcen im Cluster zu verhindern.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Netzwerkfunktion ordnungsgemäß funktioniert.

EKSComputeAmazon-Richtlinie

Anmerkung

Diese Richtlinie ist nur für AWS dienstbezogene Rollen vorgesehen und kann nicht für vom Kunden verwaltete Rollen verwendet werden.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS Ressourcen für die Leader-Wahl für Rechenoperationen verwalten kann:

  • coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können EKS-Rechenkomponenten die Skalierungsaktivitäten der Knoten durch die Leader-Wahl koordinieren.

Die Richtlinie ist speziell auf die Berechnung von Verwaltungs-Lease-Ressourcen ausgerichtet und ermöglicht gleichzeitig den grundlegenden Lesezugriff (get, watch) auf alle Lease-Ressourcen im Cluster.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Netzwerkfunktion ordnungsgemäß funktioniert.

Amazon EKSBlock StorageClusterPolicy

Anmerkung

Diese Richtlinie ist nur für AWS dienstbezogene Rollen vorgesehen und kann nicht für vom Kunden verwaltete Rollen verwendet werden.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Blockspeicherfunktion von Amazon EKS Auto Mode. Sie ermöglicht eine effiziente Verwaltung der Blockspeicherressourcen innerhalb von Amazon-EKS-Clustern. Die Richtlinie umfasst folgende Berechtigungen:

CSI-Treiberverwaltung:

  • Erstellen, Lesen, Aktualisieren und Löschen von CSI-Treibern, insbesondere für Blockspeicher.

Volume-Verwaltung:

  • Auflisten, Beobachten, Erstellen, Aktualisieren, Patchen und Löschen persistenter Volumes.

  • Auflisten, Überwachen und Aktualisieren von persistenten Volume-Ansprüchen.

  • Patchen Sie des Status von persistenten Volume-Ansprüchen.

Interaktion zwischen Knoten und Pods:

  • Lesen Sie Informationen zu Knoten und Pods.

  • Speichern Sie Ereignisse im Zusammenhang mit Speichervorgängen.

Speicherklassen und Attribute:

  • Lesen Sie Speicherklassen und CSI-Knoten.

  • Lesen Sie die Volume-Attributklassen.

Anhänge von Volumes:

  • Auflisten, Überwachen und Ändern von Volume-Anhängen und deren Status.

Snapshot-Vorgänge:

  • Verwalten Sie Volumen-Snapshots, Snapshot-Inhalte und Snapshot-Klassen.

  • Verwalten Sie Vorgänge für Volume-Gruppen-Snapshots und zugehörige Ressourcen.

Diese Richtlinie wurde entwickelt, um eine umfassende Verwaltung von Blockspeichern innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Sie umfasst Berechtigungen für verschiedene Vorgänge, darunter die Bereitstellung, das Anfügen, die Größenänderung und die Erstellung von Snapshots von Blockspeicher-Volumes.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Blockspeicherfunktion ordnungsgemäß funktioniert.

Amazon EKSCompute ClusterPolicy

Anmerkung

Diese Richtlinie ist nur für AWS dienstbezogene Rollen vorgesehen und kann nicht für vom Kunden verwaltete Rollen verwendet werden.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Rechenmanagement-Funktionen von Amazon EKS Auto Mode. Sie ermöglicht eine effiziente Orchestrierung und Skalierung von Rechenressourcen innerhalb von Amazon-EKS-Clustern Die Richtlinie umfasst folgende Berechtigungen:

Knotenverwaltung:

  • Den Status von und erstellen, lesen, aktualisieren, löschen und verwalten. NodePools NodeClaims

  • Verwalten NodeClasses, einschließlich Erstellung, Änderung und Löschung.

Terminplanung und Ressourcenmanagement:

  • Leserechte für Pods, Knoten, persistente Volumes, persistente Volume-Ansprüche, Replikationscontroller und Namespaces.

  • Lesezugriff auf Speicherklassen, CSI-Knoten und Volume-Anhänge.

  • Auflistung und Überwachung von Bereitstellungen, Daemon-Sets, Replica-Sets und Stateful-Sets.

  • Lesen Sie die Budgets für Pod-Unterbrechungen.

Ereignisbehandlung:

  • Erstellen, Lesen und Verwalten von Cluster-Ereignissen.

Entzug der Berechtigungen für Knoten und Pod-Bereinigung:

  • Aktualisieren, patchen und löschen Sie Knoten.

  • Erstellen Sie Pod-Bereinigungen und löschen Sie Pods bei Bedarf.

Verwaltung benutzerdefinierter Ressourcendefinitionen (CRD):

  • Neues erstellen CRDs.

  • Spezifische Funktionen CRDs im Zusammenhang mit der Knotenverwaltung verwalten (NodeClasses NodePools NodeClaims,, und NodeDiagnostics).

Diese Richtlinie wurde entwickelt, um eine umfassende Datenverarbeitungsverwaltung innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Es vereint Berechtigungen für verschiedene Vorgänge, darunter die Bereitstellung von Knoten, die Planung, die Skalierung und die Ressourcenoptimierung.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Datenverarbeitungsverwaltungsfunktion ordnungsgemäß funktioniert.

Amazon EKSLoad BalancingClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Load-Balancing-Funktion von Amazon EKS Auto Mode. Es ermöglicht die effiziente Verwaltung und Konfiguration von Load-Balancing-Ressourcen innerhalb von Amazon-EKS-Clustern. Die Richtlinie umfasst folgende Berechtigungen:

Ereignis- und Ressourcenmanagement:

  • Erstellen und Patchen von Ereignissen.

  • Lesezugriff auf Pods, Knoten, Endpunkte und Namespaces.

  • Aktualisieren des Pod-Status.

Service- und Ingress-Management:

  • Vollständige Verwaltung von Services und deren Status.

  • Umfassende Kontrolle über Ingresses und deren Status.

  • Lesezugriff auf Endpunkt-Slices und Ingress-Klassen.

Zielgruppenbindungen:

  • Erstellen und Ändern von Zielgruppenbindungen und deren Status.

  • Lesezugriff auf Ingress-Klassenparameter.

Verwaltung benutzerdefinierter Ressourcendefinitionen (CRD):

  • Alles erstellen und lesen CRDs.

  • Spezifische Verwaltung von targetgroupbindings.eks.amazonaws.com und ingressclassparams.eks.amazonaws.com. CRDs

Webhook-Konfiguration:

  • Erstellen und Lesen von sich ändernden und validierenden Webhook-Konfigurationen.

  • eks-load-balancing-webhookVerwalte die Konfiguration.

Diese Richtlinie wurde entwickelt, um ein umfassendes Lastenausgleichsmanagement innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Es kombiniert Berechtigungen für verschiedene Operationen, darunter die Bereitstellung von Diensten, das Routing eingehender Zugriffe und die Integration mit AWS Lastenausgleichsdiensten.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Load-Balancing-Funktion ordnungsgemäß funktioniert.

Amazon EKSNetworking ClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

Amazon EKSNetworking ClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Netzwerkfunktionen von Amazon EKS Auto Mode. Sie ermöglicht die effiziente Verwaltung und Konfiguration von Netzwerkressourcen innerhalb von Amazon-EKS-Clustern. Die Richtlinie umfasst folgende Berechtigungen:

Knoten- und Pod-Verwaltung:

  • Lesezugriff auf NodeClasses und deren Status.

  • Lesezugriff auf NodeClaims und deren Status.

  • Lesezugriff auf Pods.

CNI-Knotenverwaltung:

  • Berechtigungen für CNINodes und deren Status, einschließlich Erstellen, Lesen, Aktualisieren, Löschen und Patchen.

Verwaltung benutzerdefinierter Ressourcendefinitionen (CRD):

  • Alles CRDs erstellen und lesen.

  • Spezifische Verwaltung (Aktualisieren, Patchen, Löschen) des CRD cninodes.eks.amazonaws.com.

Ereignis-Management:

  • Erstellen und Patchen von Ereignissen.

Diese Richtlinie wurde entwickelt, um ein umfassendes Netzwerkmanagement innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Sie kombiniert Berechtigungen für verschiedene Vorgänge, einschließlich Knoten-Netzwerkkonfiguration, CNI-Verwaltung (Container Network Interface) und zugehörige benutzerdefinierte Ressourcenverwaltung.

Die Richtlinie ermöglicht es den Netzwerkkomponenten, mit knotenbezogenen Ressourcen zu interagieren, CNI-spezifische Knotenkonfigurationen zu verwalten und benutzerdefinierte Ressourcen zu verarbeiten, die für den Netzwerkbetrieb im Cluster von entscheidender Bedeutung sind.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Netzwerkfunktion ordnungsgemäß funktioniert.

EKSHybridAmazon-Richtlinie

Anmerkung

Diese Richtlinie ist nur für AWS dienstbezogene Rollen vorgesehen und kann nicht für vom Kunden verwaltete Rollen verwendet werden.

Diese Zugriffsrichtlinie umfasst Berechtigungen, die EKS Zugriff auf die Knoten eines Clusters gewähren. Wenn dies einem Zugriffseintrag zugeordnet ist, umfasst der Zugriffsbereich in der Regel keinen Kubernetes-Namespace, sondern den Cluster. Diese Richtlinie wird von Amazon-EKS-Hybridknoten verwendet.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Kubernetes-API-Gruppen Kubernetes (keine Ressource) URLs Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

*

nodes

list

Amazon EKSCluster InsightsPolicy

Anmerkung

Diese Richtlinie ist nur für AWS dienstbezogene Rollen vorgesehen und kann nicht für vom Kunden verwaltete Rollen verwendet werden.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Diese Richtlinie gewährt Lesezugriffsberechtigungen für Erkenntnisfunktionalität von Amazon-EKS-Cluster Die Richtlinie umfasst folgende Berechtigungen:

Knoten-Zugriff: – Cluster-Knoten auflisten und anzeigen – Knotenstatusinformationen lesen

DaemonSet Zugriff: — Lesezugriff auf die Kube-Proxy-Konfiguration

Diese Richtlinie wird automatisch vom EKS-Service für Cluster-Ereignisse verwaltet. Weitere Informationen finden Sie unter Vorbereitung auf Kubernetes-Versionsupgrades und Beheben von Fehlkonfigurationen mit Cluster-Einblicken.

AWSBackupFullAccessPolicyForBackup

ARN – arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

Diese Richtlinie gewährt die Berechtigungen, die AWS Backup benötigt, um Backups des EKS-Clusters zu verwalten und zu erstellen. Diese Richtlinie umfasst die folgenden Berechtigungen:

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

*

*

list, get

AWSBackupFullAccessPolicyForRestore

ARN – arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

Diese Richtlinie gewährt die Berechtigungen, die AWS Backup benötigt, um Backups des EKS-Clusters zu verwalten und wiederherzustellen. Diese Richtlinie umfasst die folgenden Berechtigungen:

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

*

*

list, get, create

Amazon EKSACKPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen, damit die Funktionen von AWS Controllers for Kubernetes (ACK) AWS Ressourcen von Kubernetes verwalten können. Die Richtlinie umfasst folgende Berechtigungen:

Benutzerdefiniertes ACK-Ressourcenmanagement:

  • Voller Zugriff auf alle benutzerdefinierten Ressourcen des ACK-Dienstes für mehr als 50 AWS Dienste, darunter S3, RDS, DynamoDB, Lambda und mehr. EC2

  • Benutzerdefinierte ACK-Ressourcendefinitionen erstellen, lesen, aktualisieren und löschen.

Namespace-Zugriff:

  • Lesezugriff auf Namespaces für die Ressourcenorganisation.

Wahl des Vorsitzenden:

  • Erstellen und lesen Sie Koordinationsverträge für die Wahl des Vorsitzenden.

  • Aktualisieren und löschen Sie bestimmte ACK Service Controller-Leases.

Ereignis-Management:

  • Ereignisse für ACK-Operationen erstellen und patchen.

Diese Richtlinie wurde entwickelt, um ein umfassendes AWS Ressourcenmanagement über APIs Kubernetes zu unterstützen. Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Capability IAM-Rolle, die Sie bei der Erstellung der ACK-Fähigkeit angeben.

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

namespaces

get, watch, list

services.k8s.aws, acm.services.k8s.aws, acmpca.services.k8s.aws, apigateway.services.k8s.aws, apigatewayv2.services.k8s.aws, applicationautoscaling.services.k8s.aws, athena.services.k8s.aws, bedrock.services.k8s.aws, bedrockagent.services.k8s.aws, bedrockagentcorecontrol.services.k8s.aws, cloudfront.services.k8s.aws, cloudtrail.services.k8s.aws, cloudwatch.services.k8s.aws, cloudwatchlogs.services.k8s.aws, codeartifact.services.k8s.aws, cognitoidentityprovider.services.k8s.aws, documentdb.services.k8s.aws, dynamodb.services.k8s.aws, ec2.services.k8s.aws, ecr.services.k8s.aws, ecrpublic.services.k8s.aws, ecs.services.k8s.aws, efs.services.k8s.aws, eks.services.k8s.aws, elasticache.services.k8s.aws, elbv2.services.k8s.aws, emrcontainers.services.k8s.aws, eventbridge.services.k8s.aws, iam.services.k8s.aws, kafka.services.k8s.aws, keyspaces.services.k8s.aws, kinesis.services.k8s.aws, kms.services.k8s.aws, lambda.services.k8s.aws, memorydb.services.k8s.aws, mq.services.k8s.aws, networkfirewall.services.k8s.aws, opensearchservice.services.k8s.aws, organizations.services.k8s.aws, pipes.services.k8s.aws, prometheusservice.services.k8s.aws, ram.services.k8s.aws, rds.services.k8s.aws, recyclebin.services.k8s.aws, route53.services.k8s.aws, route53resolver.services.k8s.aws, s3.services.k8s.aws, s3control.services.k8s.aws, sagemaker.services.k8s.aws, secretsmanager.services.k8s.aws, ses.services.k8s.aws, sfn.services.k8s.aws, sns.services.k8s.aws, sqs.services.k8s.aws, ssm.services.k8s.aws, wafv2.services.k8s.aws

*

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(nur für bestimmte ACK-Service-Controller-Leases)

delete, update, patch

events

create, patch

apiextensions.k8s.io

customresourcedefinitions

*

EKSArgoCDClusterAmazon-Richtlinie

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

Diese Richtlinie gewährt Berechtigungen auf Clusterebene, die für die Argo-CD-Funktion erforderlich sind, um Ressourcen zu erkennen und Objekte im Clusterbereich zu verwalten. Die Richtlinie umfasst folgende Berechtigungen:

Namespace-Verwaltung:

  • Namespaces für die Namespace-Verwaltung von Anwendungen erstellen, lesen, aktualisieren und löschen.

Verwaltung benutzerdefinierter Ressourcendefinitionen:

  • Argo CD-spezifisch verwalten CRDs (Anwendungen, AppProjects, ApplicationSets).

API-Erkennung:

  • Lesezugriff auf Kubernetes-API-Endpunkte zur Ressourcenerkennung.

Diese Richtlinie wurde entwickelt, um Argo-CD-Operationen auf Clusterebene zu unterstützen, einschließlich Namespace-Verwaltung und CRD-Installation. Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Capability IAM-Rolle, die Sie bei der Erstellung der Argo-CD-Funktion angeben.

Kubernetes-API-Gruppen Kubernetes, keine Ressource URLs Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

namespaces

create, get, update, patch, delete

apiextensions.k8s.io

customresourcedefinitions

create

apiextensions.k8s.io

customresourcedefinitions(Nur Argo-CD) CRDs

get, update, patch, delete

/api, /api/*, /apis, /apis/*

get

Amazon EKSArgo CDPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

Diese Richtlinie gewährt Berechtigungen auf Namespace-Ebene, die für die Argo-CD-Funktion zur Bereitstellung und Verwaltung von Anwendungen erforderlich sind. Die Richtlinie umfasst folgende Berechtigungen:

Geheime Verwaltung:

  • Voller Zugriff auf Geheimnisse für Git-Anmeldeinformationen und Clustergeheimnisse.

ConfigMap Zugriff:

  • Lesezugriff auf, um Warnungen ConfigMaps zu senden, wenn Kunden versuchen, Argo CD zu verwenden, die nicht unterstützt wird. ConfigMaps

Ereignis-Management:

  • Lesen und erstellen Sie Ereignisse für die Überwachung des Anwendungslebenszyklus.

Argo CD Ressourcenmanagement:

  • Voller Zugriff auf Anwendungen ApplicationSets, und AppProjects.

  • Verwalten Sie die Finalizer und den Status der Argo-CD-Ressourcen.

Diese Richtlinie wurde entwickelt, um Argo-CD-Operationen auf Namespace-Ebene zu unterstützen, einschließlich der Anwendungsbereitstellung und -verwaltung. Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Capability IAM-Rolle, die Sie angeben, wenn die Argo-CD-Funktion erstellt wird, und zwar für den Argo-CD-Namespace.

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

secrets

*

configmaps

get, list, watch

events

get, list, watch, patch, create

argoproj.io

applications, applications/finalizers, applications/status, applicationsets, applicationsets/finalizers, applicationsets/status, appprojects, appprojects/finalizers, appprojects/status

*

Amazon EKSKROPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy

Diese Richtlinie gewährt Berechtigungen, die für die Kro-Funktion (Kube Resource Orchestrator) erforderlich sind, um benutzerdefinierte Kubernetes zu erstellen und zu verwalten. APIs Die Richtlinie umfasst folgende Berechtigungen:

Kro-Ressourcenverwaltung:

  • Voller Zugriff auf alle Kro-Ressourcen, einschließlich ResourceGraphDefinitions benutzerdefinierter Ressourceninstanzen.

Verwaltung benutzerdefinierter Ressourcendefinitionen:

  • APIs Benutzerdefiniert von erstellen, lesen, aktualisieren und löschen CRDs ResourceGraphDefinitions.

Wahl des Vorsitzenden:

  • Erstellen und lesen Sie Koordinationsverträge für die Wahl des Vorsitzenden.

  • Aktualisieren und löschen Sie den Kro-Controller-Lease.

Ereignis-Management:

  • Ereignisse für Kro-Operationen erstellen und patchen.

Diese Richtlinie wurde entwickelt, um eine umfassende Ressourcenzusammenstellung und ein benutzerdefiniertes API-Management über Kro zu unterstützen. Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Capability IAM-Rolle, die Sie bei der Erstellung der Kro-Fähigkeit angeben.

Kubernetes-API-Gruppen Kubernetes-Ressourcen Kubernetes-Verben (Berechtigungen)

kro.run

*

*

apiextensions.k8s.io

customresourcedefinitions

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(Nur Kro-Controller-Lease)

delete, update, patch

events

create, patch

Aktualisierungen für Zugriffsrichtlinien

Sehen Sie sich an, welche Aktualisierungen für Zugriffsrichtlinien seit ihrer Einführung vorgenommen wurden. Abonnieren Sie den RSS-Feed in Dokumentverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderungen Beschreibung Date

Fügen Sie Richtlinien für EKS-Funktionen hinzu

VeröffentlichenAmazonEKSACKPolicy, AmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicy, und AmazonEKSKROPolicy für die Verwaltung von EKS-Funktionen

22. November 2025

Add AmazonEKSSecretReaderPolicy

Fügen Sie eine neue Richtlinie für den schreibgeschützten Zugriff auf geheime Daten hinzu

6. November 2025

Richtlinie für EKS-Cluster-Erkenntnisse hinzufügen

AmazonEKSClusterInsightsPolicy veröffentlichen

2. Dezember 2024

Richtlinien für Amazon EKS Hybrid hinzufügen

AmazonEKSHybridPolicy veröffentlichen

2. Dezember 2024

Richtlinien für Amazon EKS Auto Mode hinzufügen

Diese Zugriffsrichtlinien gewähren der Cluster-IAM-Rolle und der Node-IAM-Rolle die Erlaubnis, Kubernetes aufzurufen. APIs AWS verwendet diese, um Routineaufgaben für Speicher-, Rechen- und Netzwerkressourcen zu automatisieren.

2. Dezember 2024

Add AmazonEKSAdminViewPolicy

Fügen Sie eine neue Richtlinie für erweiterten Zugriff auf Ansichten hinzu, einschließlich Ressourcen wie Geheimnisse.

23. April 2024

Zugriffsrichtlinien wurden eingeführt.

In Amazon EKS wurden Zugriffsrichtlinien eingeführt.

29. Mai 2023