Alle Richtlinien auflisten AmazonEKSAdminPolicy AmazonEKSClusterAdminPolicy AmazonEKSAdminViewPolicy AmazonEKSEditPolicy AmazonEKSViewPolicy AmazonEKSAutoNodePolicy AmazonEKSBlockStoragePolicy AmazonEKSLoadBalancingPolicy AmazonEKSNetworkingPolicy AmazonEKSComputePolicy AmazonEKSBlockStorageClusterPolicy AmazonEKSComputeClusterPolicy AmazonEKSLoadBalancingClusterPolicy AmazonEKSNetworkingClusterPolicy AmazonEKSHybridPolicy AmazonEKSClusterInsightsPolicy Aktualisierungen für Zugriffsrichtlinien

Berechtigungen von Zugriffsrichtlinien überprüfen

Zugriffsrichtlinien beinhalten rules, die Kubernetes verbs (Berechtigungen) und resources enthalten. Zugriffsrichtlinien beinhalten keine IAM-Berechtigungen oder -Ressourcen. Ähnlich wie bei Kubernetes Role und ClusterRole-Objekten beinhalten Zugriffsrichtlinien nur allow rules. Der Inhalt einer Zugriffsrichtlinie kann nicht geändert werden. Sie können keine eigenen Zugriffsrichtlinien erstellen. Wenn die Berechtigungen in den Zugriffsrichtlinien Ihre Anforderungen nicht erfüllen, können Sie Kubernetes-RBAC-Objekte erstellen und Gruppennamen für Ihre Zugriffseinträge angeben. Weitere Informationen finden Sie unter Zugriffseinträge erstellen. Die in den Zugriffsrichtlinien enthaltenen Berechtigungen ähneln den Berechtigungen in den benutzerorientierten Cluster-Rollen von Kubernetes. Weitere Informationen finden Sie unterBenutzerorientierte Rollen in der Kubernetes-Dokumentation.

Alle Richtlinien auflisten

Verwenden Sie eine der auf dieser Seite aufgeführten Zugriffsrichtlinien oder rufen Sie mithilfe der AWS CLI eine Liste aller verfügbaren Zugriffsrichtlinien ab:


aws eks list-access-policies

Die erwartete Ausgabe sollte wie folgt aussehen (der Kürze halber abgekürzt):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal die meisten Berechtigungen für Ressourcen erteilen. Wenn dies einem Zugriffseintrag zugeordnet ist, umfasst sein Zugriffsbereich normalerweise einen oder mehrere Kubernetes-Namespaces. Wenn ein IAM-Prinzipal über Administratorzugriff auf alle Ressourcen in Ihrem Cluster verfügen soll, ordnen Sie die Zugriffsrichtlinie AmazonEKSClusterAdminPolicy stattdessen Ihrem Zugriffseintrag zu.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes-API-Gruppen	Kubernetes-Ressourcen	Kubernetes-Verben (Berechtigungen)
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`authorization.k8s.io`	`localsubjectaccessreviews`	`create`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
`rbac.authorization.k8s.io`	`rolebindings`, `roles`	`create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`,`list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`serviceaccounts`	`impersonate`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`,`list`, `watch`

AmazonEKSClusterAdminPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipaladministrator Zugriff auf einen Cluster gewähren. Wenn dies einem Zugriffseintrag zugeordnet ist, umfasst der Zugriffsbereich in der Regel keinen Kubernetes-Namespace, sondern den Cluster. Wenn Sie möchten, dass ein IAM-Prinzipal einen eingeschränkteren Verwaltungsbereich hat, sollten Sie stattdessen die AmazonEKSAdminPolicy-Zugriffsrichtlinie mit Ihrem Zugriffseintrag verknüpfen.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes-API-Gruppen	Kubernetes nonResourceURLs	Kubernetes-Ressourcen	Kubernetes-Verben (Berechtigungen)
`*`		`*`	`*`
	`*`		`*`

AmazonEKSAdminViewPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, die einem IAM-Prinzipal Zugriff zum Auflisten/Anzeigen aller Ressourcen in einem Cluster gewähren. Beachten Sie, dass dies Kubernetes-Geheimnisse umfasst.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes-API-Gruppen	Kubernetes-Ressourcen	Kubernetes-Verben (Berechtigungen)
`*`	`*`	`get`, `list`, `watch`

AmazonEKSEditPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, mit denen ein IAM-Prinzipal die meisten Kubernetes-Ressourcen bearbeiten kann.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes-API-Gruppen	Kubernetes-Ressourcen	Kubernetes-Verben (Berechtigungen)
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`serviceaccounts`	`impersonate`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`

AmazonEKSViewPolicy

Diese Zugriffsrichtlinie umfasst Berechtigungen, mit denen ein IAM-Prinzipal die meisten Kubernetes-Ressourcen anzeigen kann.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes-API-Gruppen	Kubernetes-Ressourcen	Kubernetes-Verben (Berechtigungen)
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `esourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`

AmazonEKSAutoNodePolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen Amazon-EKS-Komponenten die folgenden Aufgaben ausführen können:

kube-proxy – Überwachen Sie Netzwerkendpunkte und -services und verwalten Sie zugehörige Ereignisse. Dies ermöglicht eine Cluster-weite Netzwerk-Proxy-Funktionalität.
ipamd – Verwalten Sie AWS-VPC-Netzwerkressourcen und Container-Netzwerkschnittstellen (CNI). Dadurch kann der IP-Adressverwaltungs-Daemon die Pod-Vernetzung verwalten.
coredns – Greifen Sie auf Ressourcen zur Serviceerkennung wie Endpunkte und Services zu. Dies ermöglicht die DNS-Auflösung innerhalb des Clusters.
ebs-csi-driver – Arbeiten Sie mit speicherbezogenen Ressourcen für Amazon-EBS-Volumes. Dies ermöglicht die dynamische Bereitstellung und Anbindung von persistenten Volumes.
neuron – Überwachen Sie Knoten und Pods für AWS-Neuron-Geräte.. Dies ermöglicht die Verwaltung von AWS-Inferentia- und Trainium-Beschleunigern.
node-monitoring-agent – Zugriff auf Knotendiagnosen und Ereignisse. Dies ermöglicht die Überwachung des Cluster-Zustands und die Erfassung von Diagnosedaten.

Jede Komponente verwendet ein dediziertes Servicekonto und ist auf die für ihre spezifische Funktion erforderlichen Berechtigungen beschränkt.

Wenn Sie eine Node-IAM-Rolle in einer NodeClass manuell festlegen, müssen Sie einen Zugriffseintrag erstellen, der die neue Node-IAM-Rolle mit dieser Zugriffsrichtlinie verknüpft.

AmazonEKSBlockStoragePolicy

Anmerkung

Diese Richtlinie ist nur für AWS-serviceverknüpfte Rollen vorgesehen und kann nicht mit vom Kunden verwalteten Rollen verwendet werden.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS die Leader-Wahl und die Koordinierung von Ressourcen für Speichervorgänge verwalten kann:

coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können EKS-Speicherkomponenten ihre Aktivitäten über einen Mechanismus für die Leader-Wahl Cluster-weit koordinieren.

Die Richtlinie gilt für bestimmte Lease-Ressourcen, die von den EKS-Speicherkomponenten verwendet werden, um Konflikte beim Zugriff auf andere Koordinierungsressourcen im Cluster zu vermeiden.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Blockspeicherfunktion ordnungsgemäß funktioniert.

AmazonEKSLoadBalancingPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS Ressourcen für die Leader-Wahl zum Load Balancing verwalten kann:

coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können die EKS-Komponenten für das Load Balancing durch die Leader-Wahl Aktivitäten über mehrere Replikate hinweg koordinieren.

Die Richtlinie ist speziell auf das Load Balancing von Lease-Ressourcen ausgerichtet, um eine ordnungsgemäße Koordination sicherzustellen und gleichzeitig den Zugriff auf andere Leasing-Ressourcen im Cluster zu verhindern.

AmazonEKSNetworkingPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS Ressourcen für die Leader-Wahl für die Vernetzung verwalten kann:

coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können EKS-Netzwerkkomponenten die Aktivitäten zur IP-Adresszuweisung durch die Leader-Wahl koordinieren.

Die Richtlinie ist speziell auf die Vernetzung von Lease-Ressourcen ausgerichtet, um eine ordnungsgemäße Koordination zu gewährleisten und gleichzeitig den Zugriff auf andere Lease-Ressourcen im Cluster zu verhindern.

AmazonEKSComputePolicy

Anmerkung

Diese Richtlinie ist nur für AWS-serviceverknüpfte Rollen vorgesehen und kann nicht mit vom Kunden verwalteten Rollen verwendet werden.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Diese Richtlinie umfasst Berechtigungen, mit denen Amazon EKS Ressourcen für die Leader-Wahl für Rechenoperationen verwalten kann:

coordination.k8s.io – Erstellen und verwalten Sie Lease-Objekte für die Leader-Wahl. Dadurch können EKS-Rechenkomponenten die Skalierungsaktivitäten der Knoten durch die Leader-Wahl koordinieren.

Die Richtlinie ist speziell auf die Berechnung von Verwaltungs-Lease-Ressourcen ausgerichtet und ermöglicht gleichzeitig den grundlegenden Lesezugriff (get, watch) auf alle Lease-Ressourcen im Cluster.

AmazonEKSBlockStorageClusterPolicy

Anmerkung

Diese Richtlinie ist nur für AWS-serviceverknüpfte Rollen vorgesehen und kann nicht mit vom Kunden verwalteten Rollen verwendet werden.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Blockspeicherfunktion von Amazon EKS Auto Mode. Sie ermöglicht eine effiziente Verwaltung der Blockspeicherressourcen innerhalb von Amazon-EKS-Clustern. Die Richtlinie umfasst folgende Berechtigungen:

CSI-Treiberverwaltung:

Erstellen, Lesen, Aktualisieren und Löschen von CSI-Treibern, insbesondere für Blockspeicher.

Volume-Verwaltung:

Auflisten, Beobachten, Erstellen, Aktualisieren, Patchen und Löschen persistenter Volumes.
Auflisten, Überwachen und Aktualisieren von persistenten Volume-Ansprüchen.
Patchen Sie des Status von persistenten Volume-Ansprüchen.

Interaktion zwischen Knoten und Pods:

Lesen Sie Informationen zu Knoten und Pods.
Speichern Sie Ereignisse im Zusammenhang mit Speichervorgängen.

Speicherklassen und Attribute:

Lesen Sie Speicherklassen und CSI-Knoten.
Lesen Sie die Volume-Attributklassen.

Anhänge von Volumes:

Auflisten, Überwachen und Ändern von Volume-Anhängen und deren Status.

Snapshot-Vorgänge:

Verwalten Sie Volumen-Snapshots, Snapshot-Inhalte und Snapshot-Klassen.
Verwalten Sie Vorgänge für Volume-Gruppen-Snapshots und zugehörige Ressourcen.

Diese Richtlinie wurde entwickelt, um eine umfassende Verwaltung von Blockspeichern innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Sie umfasst Berechtigungen für verschiedene Vorgänge, darunter die Bereitstellung, das Anfügen, die Größenänderung und die Erstellung von Snapshots von Blockspeicher-Volumes.

AmazonEKSComputeClusterPolicy

Anmerkung

Diese Richtlinie ist nur für AWS-serviceverknüpfte Rollen vorgesehen und kann nicht mit vom Kunden verwalteten Rollen verwendet werden.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Rechenmanagement-Funktionen von Amazon EKS Auto Mode. Sie ermöglicht eine effiziente Orchestrierung und Skalierung von Rechenressourcen innerhalb von Amazon-EKS-Clustern Die Richtlinie umfasst folgende Berechtigungen:

Knotenverwaltung:

Erstellen, Lesen, Aktualisieren, Löschen und Verwalten des Status von NodePools und NodeClaims.
Verwalten Sie NodeClasses, einschließlich Erstellung, Änderung und Löschung.

Terminplanung und Ressourcenmanagement:

Leserechte für Pods, Knoten, persistente Volumes, persistente Volume-Ansprüche, Replikationscontroller und Namespaces.
Lesezugriff auf Speicherklassen, CSI-Knoten und Volume-Anhänge.
Auflistung und Überwachung von Bereitstellungen, Daemon-Sets, Replica-Sets und Stateful-Sets.
Lesen Sie die Budgets für Pod-Unterbrechungen.

Ereignisbehandlung:

Erstellen, Lesen und Verwalten von Cluster-Ereignissen.

Entzug der Berechtigungen für Knoten und Pod-Bereinigung:

Aktualisieren, patchen und löschen Sie Knoten.
Erstellen Sie Pod-Bereinigungen und löschen Sie Pods bei Bedarf.

Verwaltung benutzerdefinierter Ressourcendefinitionen (CRD):

Erstellen Sie neue CRDs.
Verwalten Sie spezifische CRDs im Zusammenhang mit der Knotenverwaltung (NodeClasses, NodePools, NodeClaims und NodeDiagnostics).

Diese Richtlinie wurde entwickelt, um eine umfassende Datenverarbeitungsverwaltung innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Es vereint Berechtigungen für verschiedene Vorgänge, darunter die Bereitstellung von Knoten, die Planung, die Skalierung und die Ressourcenoptimierung.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Datenverarbeitungsverwaltungsfunktion ordnungsgemäß funktioniert.

AmazonEKSLoadBalancingClusterPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Load-Balancing-Funktion von Amazon EKS Auto Mode. Es ermöglicht die effiziente Verwaltung und Konfiguration von Load-Balancing-Ressourcen innerhalb von Amazon-EKS-Clustern. Die Richtlinie umfasst folgende Berechtigungen:

Ereignis- und Ressourcenmanagement:

Erstellen und Patchen von Ereignissen.
Lesezugriff auf Pods, Knoten, Endpunkte und Namespaces.
Aktualisieren des Pod-Status.

Service- und Ingress-Management:

Vollständige Verwaltung von Services und deren Status.
Umfassende Kontrolle über Ingresses und deren Status.
Lesezugriff auf Endpunkt-Slices und Ingress-Klassen.

Zielgruppenbindungen:

Erstellen und Ändern von Zielgruppenbindungen und deren Status.
Lesezugriff auf Ingress-Klassenparameter.

Verwaltung benutzerdefinierter Ressourcendefinitionen (CRD):

Erstellen und Lesen aller CRDs.
Spezifische Verwaltung der CRDs targetgroupbindings.eks.amazonaws.com und ingressclassparams.eks.amazonaws.com.

Webhook-Konfiguration:

Erstellen und Lesen von sich ändernden und validierenden Webhook-Konfigurationen.
Verwalten der eks-load-balancing-webhook-Konfiguration.

Diese Richtlinie wurde entwickelt, um ein umfassendes Lastenausgleichsmanagement innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Es vereint Berechtigungen für verschiedene Vorgänge, darunter Service-Exposure, Ingress-Weiterleitung und die Integration mit AWS-Load-Balancing-Services.

Amazon EKS erstellt automatisch einen Zugriffseintrag mit dieser Zugriffsrichtlinie für die Cluster-IAM-Rolle, wenn der Automatikmodus aktiviert ist. Dadurch wird sichergestellt, dass die erforderlichen Berechtigungen vorhanden sind, damit die Load-Balancing-Funktion ordnungsgemäß funktioniert.

AmazonEKSNetworkingClusterPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

Diese Richtlinie gewährt die erforderlichen Berechtigungen für die Netzwerkfunktionen von Amazon EKS Auto Mode. Sie ermöglicht die effiziente Verwaltung und Konfiguration von Netzwerkressourcen innerhalb von Amazon-EKS-Clustern. Die Richtlinie umfasst folgende Berechtigungen:

Knoten- und Pod-Verwaltung:

Lesezugriff auf NodeClasses und deren Status.
Lesezugriff auf NodeClaims und deren Status.
Lesezugriff auf Pods.

CNI-Knotenverwaltung:

Berechtigungen für CNINodes und deren Status, einschließlich Erstellen, Lesen, Aktualisieren, Löschen und Patchen.

Verwaltung benutzerdefinierter Ressourcendefinitionen (CRD):

Erstellen und Lesen aller CRDs.
Spezifische Verwaltung (Aktualisieren, Patchen, Löschen) des CRD cninodes.eks.amazonaws.com.

Ereignis-Management:

Erstellen und Patchen von Ereignissen.

Diese Richtlinie wurde entwickelt, um ein umfassendes Netzwerkmanagement innerhalb von Amazon-EKS-Clustern zu unterstützen, die im Automatikmodus ausgeführt werden. Sie kombiniert Berechtigungen für verschiedene Vorgänge, einschließlich Knoten-Netzwerkkonfiguration, CNI-Verwaltung (Container Network Interface) und zugehörige benutzerdefinierte Ressourcenverwaltung.

Die Richtlinie ermöglicht es den Netzwerkkomponenten, mit knotenbezogenen Ressourcen zu interagieren, CNI-spezifische Knotenkonfigurationen zu verwalten und benutzerdefinierte Ressourcen zu verarbeiten, die für den Netzwerkbetrieb im Cluster von entscheidender Bedeutung sind.

AmazonEKSHybridPolicy

Anmerkung

Diese Richtlinie ist nur für AWS-serviceverknüpfte Rollen vorgesehen und kann nicht mit vom Kunden verwalteten Rollen verwendet werden.

Diese Zugriffsrichtlinie umfasst Berechtigungen, die EKS Zugriff auf die Knoten eines Clusters gewähren. Wenn dies einem Zugriffseintrag zugeordnet ist, umfasst der Zugriffsbereich in der Regel keinen Kubernetes-Namespace, sondern den Cluster. Diese Richtlinie wird von Amazon-EKS-Hybridknoten verwendet.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Kubernetes-API-Gruppen	Kubernetes nonResourceURLs	Kubernetes-Ressourcen	Kubernetes-Verben (Berechtigungen)
`*`		`nodes`	`list`

AmazonEKSClusterInsightsPolicy

Anmerkung

Diese Richtlinie ist nur für AWS-serviceverknüpfte Rollen vorgesehen und kann nicht mit vom Kunden verwalteten Rollen verwendet werden.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Diese Richtlinie gewährt Lesezugriffsberechtigungen für Erkenntnisfunktionalität von Amazon-EKS-Cluster Die Richtlinie umfasst folgende Berechtigungen:

Knoten-Zugriff: - Cluster-Knoten auflisten und anzeigen - Knotenstatusinformationen lesen

DaemonSet-Zugriff: - Lesezugriff auf die kube-proxy-Konfiguration

Diese Richtlinie wird automatisch vom EKS-Service für Cluster-Ereignisse verwaltet. Weitere Informationen finden Sie unter Vorbereitung auf Kubernetes-Versionsupgrades und Beheben von Fehlkonfigurationen mit Cluster-Einblicken.

Aktualisierungen für Zugriffsrichtlinien

Sehen Sie sich an, welche Aktualisierungen für Zugriffsrichtlinien seit ihrer Einführung vorgenommen wurden. Abonnieren Sie den RSS-Feed in Dokumentverlauf, um automatische Benachrichtigungen über Änderungen an dieser Seite zu erhalten.

Änderung	Beschreibung	Datum
Richtlinie für EKS-Cluster-Erkenntnisse hinzufügen	`AmazonEKSClusterInsightsPolicy` veröffentlichen	2. Dezember 2024
Richtlinien für Amazon EKS Hybrid hinzufügen	`AmazonEKSHybridPolicy` veröffentlichen	2. Dezember 2024
Richtlinien für Amazon EKS Auto Mode hinzufügen	Diese Zugriffsrichtlinien gewähren der Cluster-IAM-Rolle und der Knoten-IAM-Rolle die Berechtigung, Kubernetes-APIs aufzurufen. AWS nutzt diese, um Routineaufgaben für Speicher-, Rechen- und Netzwerkressourcen zu automatisieren.	2. Dezember 2024
Add `AmazonEKSAdminViewPolicy`	Fügen Sie eine neue Richtlinie für erweiterten Zugriff auf Ansichten hinzu, einschließlich Ressourcen wie Geheimnisse.	23. April 2024
Zugriffsrichtlinien wurden eingeführt.	In Amazon EKS wurden Zugriffsrichtlinien eingeführt.	29. Mai 2023

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Migration zu Zugriffseinträgen

Authentifizierungsmodus