Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

AWS verwaltete Richtlinien für Amazon Elastic Kubernetes Service

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien dienen dazu, Berechtigungen für viele gängige Anwendungsfälle bereitzustellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn ein neuer AWS Dienst gestartet wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: Amazoneks_CNI_Policy

Sie können die AmazonEKS_CNI_Policy an Ihre IAM-Entitäten anhängen. Bevor Sie eine EC2 Amazon-Knotengruppe erstellen, muss diese Richtlinie entweder an die Knoten-IAM-Rolle oder an eine IAM-Rolle angehängt werden, die speziell vom Amazon VPC CNI-Plugin für Kubernetes verwendet wird. Dies dient dazu, Aktionen in Ihrem Namen auszuführen. Wir empfehlen, dass Sie die Richtlinie einer Rolle anfügen, die nur vom Plugin verwendet wird. Weitere Informationen erhalten Sie unter Pods mit dem Amazon VPC CNI zuweisen IPs und Konfiguration des Amazon-VPC-CNI-Plugins für die Verwendung von IRSA.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

ec2:*NetworkInterface und ec2:*PrivateIpAddresses – Ermöglicht dem Amazon-VPC-CNI-Plugin, Aktionen wie die Bereitstellung von Elastic Network Interfaces und IP-Adressen für Pods auszuführen, um Netzwerke für Anwendungen bereitzustellen, die in Amazon EKS ausgeführt werden.
ec2-Leseaktionen – Ermöglicht dem Amazon-VPC-CNI-Plugin, Aktionen wie das Beschreiben von Instances und Subnetzen auszuführen, um die Anzahl der freien IP-Adressen in Ihren Amazon-VPC-Subnetzen anzuzeigen. Das VPC CNI kann die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen für die Erstellung einer elastischen Netzwerkschnittstelle auszuwählen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS_CNI_Policy im Managed Policy Reference Guide. AWS

AWS verwaltete Richtlinie: EKSCluster Amazon-Richtlinie

Sie können AmazonEKSClusterPolicy an Ihre IAM-Entitäten anhängen. Bevor Sie einen Cluster erstellen, müssen Sie über eine Cluster-IAM-Rolle mit dieser angehängten Richtlinie verfügen. Kubernetes-Cluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Services auf. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

autoscaling – Lesen und aktualisieren Sie die Konfiguration einer Auto-Scaling-Gruppe. Diese Berechtigungen werden von Amazon EKS nicht verwendet, verbleiben jedoch aus Gründen der Abwärtskompatibilität in der Richtlinie.
ec2— Arbeiten Sie mit Volumes und Netzwerkressourcen, die EC2 Amazon-Knoten zugeordnet sind. Dies ist erforderlich, damit die Kubernetes-Steuerebene Instances zu einem Cluster verbinden und von persistenten Kubernetes-Volumes angeforderte Amazon-EBS-Volumes dynamisch bereitstellen und verwalten kann.
ec2 – Löschen Sie elastische Netzwerkschnittstellen, die vom VPC CNI erstellt wurden. Dies ist erforderlich, damit EKS elastische Netzwerkschnittstellen bereinigen kann, die zurückbleiben, wenn das VPC CNI unerwartet beendet wird.
elasticloadbalancing – Arbeiten Sie mit Elastic Load Balancern und fügen Sie ihnen Knoten als Ziele hinzu. Dies ist erforderlich, damit die Kubernetes-Steuerebene von Kubernetes-Diensten angeforderte Elastic Load Balancer dynamisch bereitstellen kann.
iam – Erstellen Sie eine serviceverknüpfte Rolle. Dies ist erforderlich, damit die Kubernetes-Steuerebene von Kubernetes-Services angeforderte Elastic Load Balancer dynamisch bereitstellen kann.
kms— Liest einen Schlüssel von AWS KMS. Dies ist erforderlich, damit die Kubernetes-Steuerebene die Secrets-Verschlüsselung von Kubernetes-Secrets unterstützt, die in etcd gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter Amazon EKSCluster Policy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSDashboard ConsoleReadOnly

Sie können AmazonEKSDashboardConsoleReadOnly an Ihre IAM-Entitäten anhängen.

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

eks – Nur-Lese-Zugriff auf EKS-Dashboard-Daten, Ressourcen und Informationen zu Cluster-Versionen. Dies ermöglicht die Anzeige von EKS-bezogenen Metriken und Details zur Cluster-Konfiguration.
organizations- Schreibgeschützter Zugriff auf Unternehmensinformationen AWS , einschließlich:
- Anzeigen von Organisationsdetails und Servicezugriff
- Auflisten von Organisations-Roots, Konten und Organisationseinheiten
- Anzeigen der Organisationsstruktur

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSDashboard ConsoleReadOnly im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSFargate PodExecutionRolePolicy

Sie können AmazonEKSFargatePodExecutionRolePolicy an Ihre IAM-Entitäten anhängen. Bevor Sie ein Fargate-Profil erstellen können, müssen Sie eine Fargate-Pod-Ausführungsrolle erstellen und diese Richtlinie an diese anfügen. Weitere Informationen erhalten Sie unter Schritt 2: Fargate-Pod-Ausführungsrolle erstellen und Festlegung, welche Pods beim Start AWS Fargate verwenden.

Diese Richtlinie gewährt der Rolle die Berechtigungen, die den Zugriff auf andere AWS Serviceressourcen ermöglichen, die für die Ausführung von Amazon EKS-Pods auf Fargate erforderlich sind.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

ecr – Ermöglicht Pods, die auf Fargate ausgeführt werden, Container-Images abzurufen, die in Amazon ECR gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSFargate PodExecutionRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSConnector ServiceRolePolicy

Sie können AmazonEKSConnectorServiceRolePolicy nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Verbinden eines Kubernetes-Clusters mithilfe von Rollen mit Amazon EKS.

Diese Rolle ermöglicht es Amazon EKS, Kubernetes-Cluster zu verbinden. Die angefügten Richtlinien ermöglichen es der Rolle, die erforderlichen Ressourcen für die Verbindung mit Ihrem registrierten Kubernetes-Cluster zu verwalten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

SSM Management— SSM-Aktivierungen erstellen, beschreiben und löschen und verwaltete Instances deregistrieren. Dies ermöglicht grundlegende Systems Manager Manager-Operationen.
Session Management— Starten Sie SSM-Sitzungen speziell für EKS-Cluster und führen Sie nicht interaktive Befehle mithilfe des AmazonEKS-Dokuments aus.
IAM Role Passing— Übergeben Sie IAM-Rollen speziell an den SSM-Dienst, gesteuert durch eine Bedingung, die die übergebenen Rollen auf beschränkt. ssm.amazonaws.com
EventBridge Rules— Erstellen Sie EventBridge Regeln und Ziele, aber nur, wenn diese von verwaltet werden. eks-connector.amazonaws.com Regeln sind speziell auf AWS SSM als Ereignisquelle beschränkt.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSConnector ServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSFor FargateServiceRolePolicy

Sie können AmazonEKSForFargateServiceRolePolicy nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter AWSServiceRoleforAmazonEKSForFargate.

Diese Richtlinie erteilt Amazon EKS die erforderlichen Berechtigungen zum Ausführen von Fargate-Aufgaben. Die Richtlinie wird nur verwendet, wenn Sie über Fargate-Knoten verfügen.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

ec2 – Erstellen und löschen Sie Elastic Network Interfaces und beschreiben Sie Elastic Network Interfaces und Ressourcen. Dies ist erforderlich, damit der Amazon-EKS-Fargate-Service das für Fargate-Pods erforderliche VPC-Netzwerk konfigurieren kann.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSFor FargateServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie

Sie können AmazonEKSComputePolicy an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre Cluster-IAM-Rolle anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese Richtlinie gewährt die Berechtigungen, die Amazon EKS benötigt, um EC2 Instances für den EKS-Cluster zu erstellen und zu verwalten, sowie die erforderlichen IAM-Berechtigungen für die Konfiguration EC2. Außerdem gewährt diese Richtlinie Amazon EKS die Erlaubnis, die mit dem EC2 Spot-Dienst verknüpfte Rolle in Ihrem Namen zu erstellen.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

ec2-Berechtigungen:
- ec2:CreateFleetund ec2:RunInstances — Ermöglicht die Erstellung von EC2 Instances und die Verwendung bestimmter EC2 Ressourcen (Bilder, Sicherheitsgruppen, Subnetze) für EKS-Clusterknoten.
- ec2:CreateLaunchTemplate- Ermöglicht das Erstellen von EC2 Startvorlagen für EKS-Clusterknoten.
- Die Richtlinie enthält auch Bedingungen, um die Verwendung dieser EC2 Berechtigungen auf Ressourcen zu beschränken, die mit dem EKS-Clusternamen und anderen relevanten Tags gekennzeichnet sind.
- ec2:CreateTags- Ermöglicht das Hinzufügen von Tags zu EC2 RessourcenCreateFleet, die durch die CreateLaunchTemplate AktionenRunInstances, und erstellt wurden.
iam-Berechtigungen:
- iam:AddRoleToInstanceProfile – Ermöglicht das Hinzufügen einer IAM-Rolle zum EKS-Rechen-Instance-Profil.
- iam:PassRole- Ermöglicht die Übergabe der erforderlichen IAM-Rollen an den EC2 Dienst.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter Amazon EKSCompute Policy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: EKSNetworking Amazon-Richtlinie

Sie können AmazonEKSNetworkingPolicy an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre Cluster-IAM-Rolle anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese Richtlinie dient dazu, Amazon EKS die erforderlichen Berechtigungen zum Erstellen und Verwalten von Netzwerkschnittstellen für den EKS-Cluster zu gewähren, sodass die Steuerebene und die Worker-Knoten ordnungsgemäß kommunizieren und funktionieren können.

Details zu Berechtigungen

Diese Richtlinie gewährt die folgenden Berechtigungen, damit Amazon EKS Netzwerkschnittstellen für den Cluster verwalten kann:

ec2-Netzwerkschnittstellen-Berechtigungen:
- ec2:CreateNetworkInterface- Ermöglicht das Erstellen von EC2 Netzwerkschnittstellen.
- Die Richtlinie enthält Bedingungen, um die Verwendung dieser Berechtigung auf Netzwerkschnittstellen zu beschränken, die mit dem EKS-Cluster-Namen und dem Kubernetes CNI-Knotennamen gekennzeichnet sind.
- ec2:CreateTags – Ermöglicht das Hinzufügen von Tags zu den durch die CreateNetworkInterface-Aktion erstellten Netzwerkschnittstellen.
Berechtigungen zur ec2-Netzwerkschnittstellenverwaltung::
- ec2:AttachNetworkInterface, ec2:DetachNetworkInterface - Ermöglicht das Anhängen und Trennen von Netzwerkschnittstellen an EC2 Instanzen.
- ec2:UnassignPrivateIpAddresses, ec2:UnassignIpv6Addresses, ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses – Ermöglicht die Verwaltung der IP-Adresszuweisungen der Netzwerkschnittstellen.
- Diese Berechtigungen sind auf Netzwerkschnittstellen beschränkt, die mit dem EKS-Cluster-Namen gekennzeichnet sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter Amazon EKSNetworking Policy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSBlock StoragePolicy

Sie können AmazonEKSBlockStoragePolicy an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre Cluster-IAM-Rolle anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese Richtlinie gewährt Amazon EKS die erforderlichen Berechtigungen, um EC2 Volumes und Snapshots für den EKS-Cluster zu erstellen, zu verwalten und zu verwalten, sodass die Steuerungsebene und die Worker-Knoten persistenten Speicher bereitstellen und verwenden können, wie es für Kubernetes-Workloads erforderlich ist.

Details zu Berechtigungen

Diese IAM-Richtlinie gewährt die folgenden Berechtigungen, damit Amazon EKS EC2 Volumes und Snapshots verwalten kann:

Berechtigung für die Verwaltung von ec2-Volumes:
- ec2:AttachVolume,, ec2:DetachVolumeec2:ModifyVolume, ec2:EnableFastSnapshotRestores — Ermöglicht das Anhängen, Trennen, Ändern und Aktivieren schneller Snapshot-Wiederherstellungen für Volumes. EC2
- Diese Berechtigungen sind auf Volumes beschränkt, die mit dem EKS-Cluster-Namen gekennzeichnet sind.
- ec2:CreateTags- Ermöglicht das Hinzufügen von Tags zu den EC2 Volumes und Snapshots, die mit den CreateVolume Aktionen und erstellt wurden. CreateSnapshot
Berechtigungen zur Erstellung von ec2-Volumes:
- ec2:CreateVolume- Ermöglicht das Erstellen neuer EC2 Volumes.
- Die Richtlinie enthält Bedingungen, welche die Verwendung dieser Berechtigung auf Volumes beschränken, die mit dem EKS-Cluster-Namen und anderen relevanten Tags gekennzeichnet sind.
- ec2:CreateSnapshot- Ermöglicht das Erstellen neuer EC2 Volume-Snapshots.
- Die Richtlinie enthält Bedingungen, welche die Verwendung dieser Berechtigung auf Snapshots beschränken, die mit dem EKS-Cluster-Namen und anderen relevanten Tags gekennzeichnet sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSBlock StoragePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy

Sie können AmazonEKSLoadBalancingPolicy an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an Ihre Cluster-IAM-Rolle anfügen, um die Ressourcen zu erweitern, die EKS in Ihrem Konto verwalten kann.

Diese IAM-Richtlinie gewährt Amazon EKS die erforderlichen Berechtigungen für die Zusammenarbeit mit verschiedenen AWS Diensten zur Verwaltung von Elastic Load Balancers (ELBs) und verwandten Ressourcen.

Details zu Berechtigungen

Die wichtigsten durch diese Richtlinie gewährten Berechtigungen sind:

elasticloadbalancing : Ermöglicht das Erstellen, Ändern und Verwalten von Elastic Load Balancern und Zielgruppen. Dies umfasst Berechtigungen zum Erstellen, Aktualisieren und Löschen von Load Balancern, Zielgruppen, Listenern und Regeln.
ec2 : Ermöglicht das Erstellen und Verwalten von Sicherheitsgruppen, die für die Kubernetes-Steuerebene erforderlich sind, um Instances einem Cluster hinzuzufügen und Amazon-EBS-Volumes zu verwalten. Ermöglicht auch die Beschreibung und Auflistung von EC2 Ressourcen wie Instances VPCs, Subnetzen, Sicherheitsgruppen und anderen Netzwerkressourcen.
iam: Ermöglicht die Erstellung einer serviceverknüpften Rolle für Elastic Load Balancing, die für die dynamische Bereitstellung durch die Kubernetes-Steuerebene erforderlich ist. ELBs
kms: Ermöglicht das Lesen eines Schlüssels aus AWS KMS, der erforderlich ist, damit die Kubernetes-Steuerebene die Verschlüsselung von in etcd gespeicherten Kubernetes-Geheimnissen unterstützt.
wafv2und shield: Ermöglicht das Zuordnen und Trennen von ACLs Webanwendungen und das Erstellen/Löschen von AWS Shield-Schutzmaßnahmen für die Elastic Load Balancer.
cognito-idp , acm und elasticloadbalancing : Gewährt Berechtigungen zum Beschreiben von Benutzerpool-Clients, zum Auflisten und Beschreiben von Zertifikaten sowie zum Beschreiben von Zielgruppen, die für die Kubernetes-Steuerebene zur Verwaltung der Elastic Load Balancers erforderlich sind.

Die Richtlinie umfasst auch mehrere Bedingungsprüfungen, um sicherzustellen, dass die Berechtigungen mithilfe des Tags eks:eks-cluster-name auf den spezifischen verwalteten EKS-Cluster beschränkt sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSLoad BalancingPolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSMCPRead OnlyAccess

Sie können AmazonEKSMCPReadOnlyAccess an Ihre IAM-Entitäten anhängen. Diese Richtlinie bietet Lesezugriff auf Amazon EKS-Ressourcen und zugehörige AWS Dienste, sodass der Amazon EKS Model Context Protocol (MCP) -Server Beobachtungs- und Fehlerbehebungsvorgänge durchführen kann, ohne Änderungen an Ihrer Infrastruktur vorzunehmen.

Details zu Berechtigungen

Diese Richtlinie umfasst die folgenden Berechtigungen, mit denen Principals die folgenden Aufgaben ausführen können:

eksErmöglicht Prinzipalen, EKS-Cluster, Knotengruppen, Add-Ons, Zugriffseinträge und Einblicke zu beschreiben und aufzulisten und auf die Kubernetes-API für schreibgeschützte Operationen zuzugreifen.
iamErmöglicht Prinzipalen das Abrufen von Informationen über IAM-Rollen, -Richtlinien und deren Anlagen, um die mit EKS-Ressourcen verbundenen Berechtigungen zu verstehen.
ec2Ermöglicht es Prinzipalen VPCs, Subnetze und Routing-Tabellen zu beschreiben, um die Netzwerkkonfiguration von EKS-Clustern zu verstehen.
stsErmöglicht Prinzipalen das Abrufen von Anruferidentitätsinformationen zu Authentifizierungs- und Autorisierungszwecken.
logsErmöglicht es den Prinzipalen, Abfragen zu starten und Abfrageergebnisse zur Problembehandlung und Überwachung aus CloudWatch Protokollen abzurufen.
cloudwatchErmöglicht Prinzipalen das Abrufen von Metrikdaten zur Überwachung der Cluster- und Workload-Leistung.
eks-mcpErmöglicht Principals, MCP-Operationen aufzurufen und schreibgeschützte Tools innerhalb des Amazon EKS MCP-Servers aufzurufen.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSMCPRead OnlyAccess im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: EKSService Amazon-Richtlinie

Sie können AmazonEKSServicePolicy an Ihre IAM-Entitäten anhängen. Für Cluster, die vor dem 16. April 2020 erstellt wurden, mussten Sie eine IAM-Rolle erstellen und diese Richtlinie anhängen. Cluster, die am oder nach dem 16. April 2020 erstellt wurden, erfordern weder die Erstellung einer Rolle noch die Zuweisung dieser Richtlinie. Wenn Sie einen Cluster mithilfe eines IAM-Prinzipals erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, wird die mit dem Dienst verknüpfte AWSServiceRoleforAmazonEKS-Rolle automatisch für Sie erstellt. Der serviceverknüpften Rolle ist die verwaltete Richtlinie: Amazon EKSService RolePolicy zugeordnet.

Diese Richtlinie ermöglicht Amazon EKS, die erforderlichen Ressourcen für den Betrieb von Amazon-EKS-Clustern zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

eks – Aktualisieren Sie die Kubernetes-Version Ihres Clusters, nachdem Sie ein Update initiiert haben. Diese Berechtigung wird von Amazon EKS nicht verwendet, verbleibt jedoch aus Gründen der Abwärtskompatibilität in der Richtlinie.
ec2 – Arbeiten Sie mit Elastic Network Interfaces und anderen Netzwerkressourcen und Tags. Dies wird von Amazon EKS benötigt, um ein Netzwerk zu konfigurieren, das die Kommunikation zwischen Knoten und der Kubernetes-Steuerebene erleichtert. Lesen Sie die Informationen zu Sicherheitsgruppen. Aktualisieren Sie Tags für Sicherheitsgruppen.
route53 – Verknüpfen Sie eine VPC mit einer gehosteten Zone. Dies wird von Amazon EKS benötigt, um ein privates Endpunktnetzwerk für Ihren Kubernetes-Cluster-API-Server zu aktivieren.
logs – Protokollereignisse Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes-Steuerebene an senden kann. CloudWatch
iam – Erstellen Sie eine serviceverknüpfte Rolle. Dies ist erforderlich, damit Amazon EKS die serviceverknüpfte Serviceverknüpfte Rollenberechtigungen für Amazon EKS-Rolle in Ihrem Namen erstellt.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter Amazon EKSService Policy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSService RolePolicy

Sie können AmazonEKSServiceRolePolicy nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon EKS. Wenn Sie einen Cluster mithilfe eines IAM-Prinzipals erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, wird die mit dem Dienst verknüpfte AWSServiceRoleforAmazonEKS-Rolle automatisch für Sie erstellt, und diese Richtlinie wird ihr angehängt.

Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, AWS Dienste in Ihrem Namen aufzurufen.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

ec2— Erstellen und beschreiben Sie Elastic Network Interfaces und EC2 Amazon-Instances, die Cluster-Sicherheitsgruppe und die VPC, die für die Erstellung eines Clusters erforderlich sind. Weitere Informationen finden Sie unter Anforderungen der Amazon-EKS-Sicherheitsgruppe für Cluster anzeigen. Lesen Sie die Informationen zu Sicherheitsgruppen. Aktualisieren Sie Tags für Sicherheitsgruppen. Weitere Informationen zu On-Demand-Kapazitätsreservierungen. Lesen Sie die VPC-Konfiguration einschließlich Routentabellen und Netzwerk ACLs , um Konfigurationsprobleme im Rahmen von Cluster-Insights zu erkennen.
ec2Automatischer Modus — Beendet EC2 Instances, die im automatischen Modus von EKS erstellt wurden. Weitere Informationen finden Sie unter Automatisieren der Cluster-Infrastruktur mit EKS Auto Mode.
iam – Listen Sie alle verwalteten Richtlinien auf, die einer IAM-Rolle zugeordnet sind. Dies ist erforderlich, damit Amazon EKS alle verwalteten Richtlinien und Berechtigungen auflisten und validieren kann, die zum Erstellen von Clustern erforderlich sind.
Eine VPC mit einer gehosteten Zone verknüpfen – Dies wird von Amazon EKS benötigt, um ein privates Endpunktnetzwerk für Ihren Kubernetes-Cluster-API-Server zu aktivieren.
Ereignis protokollieren — Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes-Steuerebene an senden kann. CloudWatch
Metrik angeben — Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes-Steuerebene an senden kann. CloudWatch
eks – Verwalten Sie Cluster-Zugriffseinträge und -Richtlinien, um detailliert zu steuern, wer auf EKS-Ressourcen zugreifen und welche Aktionen ausführen darf. Dazu gehört auch die Zuordnung von Standardzugriffsrichtlinien für Rechen-, Netzwerk-, Load Balancing- und Speichervorgänge.
elasticloadbalancing – Erstellen, verwalten und löschen Sie Load Balancer und deren Komponenten (Listener, Zielgruppen, Zertifikate), die EKS-Clustern zugeordnet sind. Zeigen Sie die Attribute und den Integritätsstatus des Load Balancers an.
events- Erstellen und verwalten Sie EventBridge Regeln für Überwachungs EC2 - und AWS Integritätsereignisse im Zusammenhang mit EKS-Clustern und ermöglichen Sie so automatisierte Reaktionen auf Infrastrukturänderungen und Integritätswarnungen.
iam- Verwalten Sie EC2 Instanzprofile mit dem Präfix „eks“, einschließlich Erstellung, Löschung und Rollenzuweisung, was für die EKS-Knotenverwaltung erforderlich ist.
pricingshield- Greifen Sie auf AWS Preisinformationen und den Shield-Schutzstatus zu, was Kostenmanagement und erweiterte Sicherheitsfunktionen für EKS-Ressourcen ermöglicht.
Ressourcen-Bereinigung – Löschen Sie während Cluster-Bereinigungsvorgängen sicher EKS-gekennzeichnete Ressourcen, einschließlich Volumes, Snapshots, Startvorlagen und Netzwerkschnittstellen.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSService RolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSVPCResource Controller

Sie können die AmazonEKSVPCResourceController-Richtlinie an Ihre IAM-Identitäten anfügen. Wenn Sie Sicherheitsgruppen für Pods verwenden, müssen Sie diese Richtlinie an Ihre Amazon-EKS-Cluster-IAM-Rolle anfügen, um Aktionen in Ihrem Namen auszuführen.

Diese Richtlinie gewährt der Clusterrolle Berechtigungen zum Verwalten von Elastic Network Interfaces und IP-Adressen für Knoten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

ec2 – Verwalten Sie Elastic Network Interfaces und IP-Adressen, um Pod-Sicherheitsgruppen und Windows-Knoten zu unterstützen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter Amazon EKSVPCResource Controller im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSWorker NodePolicy

Sie können die AmazonEKSWorkerNodePolicy an Ihre IAM-Entitäten anhängen. Sie müssen diese Richtlinie an eine Node-IAM-Rolle anhängen, die Sie angeben, wenn Sie EC2 Amazon-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen durchzuführen. Wenn Sie eine Knotengruppe mit eksctl erstellen, wird die Knoten-IAM-Rolle erstellt und diese Richtlinie automatisch an die Rolle angehängt.

Diese Richtlinie gewährt Amazon EKS EC2 Amazon-Knoten die Erlaubnis, sich mit Amazon EKS-Clustern zu verbinden.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

ec2 – Lesen Sie Informationen zum Instance-Volumen und zum Netzwerk. Dies ist erforderlich, damit Kubernetes-Knoten Informationen über EC2 Amazon-Ressourcen beschreiben können, die erforderlich sind, damit der Knoten dem Amazon EKS-Cluster beitritt.
eks – Beschreiben Sie optional den Cluster als Teil des Knoten-Bootstrappings.
eks-auth:AssumeRoleForPodIdentity – Erlauben Sie das Abrufen von Anmeldeinformationen für EKS-Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSWorker NodePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSWorker NodeMinimalPolicy

Sie können Amazon EKSWorker NodeMinimalPolicy an Ihre IAM-Entitäten anhängen. Sie können diese Richtlinie an eine Node-IAM-Rolle anhängen, die Sie angeben, wenn Sie EC2 Amazon-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen durchzuführen.

Diese Richtlinie gewährt Amazon EKS EC2 Amazon-Knoten die Erlaubnis, sich mit Amazon EKS-Clustern zu verbinden. Diese Richtlinie hat im Vergleich zu Amazon weniger Berechtigungen EKSWorkerNodePolicy.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

eks-auth:AssumeRoleForPodIdentity – Erlauben Sie das Abrufen von Anmeldeinformationen für EKS-Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSWorker NodePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup

Sie können AWSServiceRoleForAmazonEKSNodegroup nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon EKS.

Diese Richtlinie gewährt der AWSServiceRoleForAmazonEKSNodegroup Rolle Berechtigungen, die es ihr ermöglichen, EC2 Amazon-Knotengruppen in Ihrem Konto zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

ec2 – Arbeiten Sie mit Sicherheitsgruppen, Tags, Kapazitätsreservierungen und Startvorlagen. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Zugriffskonfiguration auf Distanz zu ermöglichen und Kapazitätsreservierungen zu beschreiben, die in verwalteten Knotengruppen verwendet werden können. Darüber hinaus erstellen von Amazon EKS verwaltete Knotengruppen in Ihrem Namen eine Startvorlage. Dies dient dazu, die Amazon EC2 Auto Scaling Scaling-Gruppe zu konfigurieren, die jede verwaltete Knotengruppe unterstützt.
iam – Erstellen einer serviceverknüpften Rolle und Übergeben einer Rolle. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um Instance-Profile für die Rolle zu verwalten, die beim Erstellen einer verwalteten Knotengruppe übergeben wird. Dieses Instance-Profil wird von EC2 Amazon-Instances verwendet, die als Teil einer verwalteten Knotengruppe gestartet wurden. Amazon EKS muss serviceverknüpfte Rollen für andere Services wie Amazon EC2 Auto Scaling Scaling-Gruppen erstellen. Diese Berechtigungen werden bei der Erstellung einer verwalteten Knotengruppe verwendet.
autoscaling – Arbeiten Sie mit Sicherheitsgruppen für Auto Scaling. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Amazon EC2 Auto Scaling Scaling-Gruppe zu verwalten, die jede verwaltete Knotengruppe unterstützt. Es wird auch verwendet, um Funktionen wie das Entfernen von Pods zu unterstützen, wenn Knoten während Aktualisierungen der Knotengruppe beendet oder recycelt werden.

Die neueste Version des JSON-Richtliniendokuments finden Sie AWSServiceRoleForAmazonEKSNodegroupim AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSDashboard ServiceRolePolicy

Sie können AmazonEKSDashboardServiceRolePolicy nicht an Ihre IAM-Entitäten anfügen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon EKS.

Diese Richtlinie gewährt der AWSServiceRoleForAmazonEKSDashboard Rolle Berechtigungen, die es ihr ermöglichen, EC2 Amazon-Knotengruppen in Ihrem Konto zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die den Zugriff zur Ausführung dieser Aufgaben ermöglichen:

organizations— Informationen zur Struktur und zu den Konten Ihrer AWS Organizations anzeigen. Dies enthält Berechtigungen zum Auflisten von Konten in Ihrer Organisation, zum Anzeigen von Organisationseinheiten und Stammverzeichnissen, zum Auflisten von delegierten Administratoren, zum Anzeigen von Services, die Zugriff auf Ihre Organisation haben, sowie zum Abrufen detaillierter Informationen über Ihre Organisation und Konten.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSDashboard ServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: EBSCSIDriver Amazon-Richtlinie

Die AmazonEBSCSIDriverPolicy Richtlinie ermöglicht es dem Amazon EBS Container Storage Interface (CSI) -Treiber, Volumes in Ihrem Namen zu erstellen, zu ändern, zu kopieren, anzuhängen, zu trennen und zu löschen. Dazu gehören auch das Ändern von Tags in vorhandenen Volumes und das Aktivieren von Fast Snapshot Restore (FSR) in EBS-Volumes. Es gewährt dem EBS-CSI-Treiber außerdem Berechtigungen zum Erstellen, Wiederherstellen und Löschen von Snapshots sowie zum Auflisten Ihrer Instances, Volumes und Snapshots.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EBSCSIDriver ServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: EFSCSIDriver Amazon-Richtlinie

Die AmazonEFSCSIDriverPolicy-Richtlinie ermöglicht es dem Amazon EFS Container Storage Interface (CSI), Zugriffspunkte in Ihrem Namen zu erstellen und zu löschen. Es gewährt dem Amazon EFS CSI-Treiber auch Berechtigungen, Ihre Access Points, Dateisysteme, Mount-Ziele und EC2 Amazon-Verfügbarkeitszonen aufzulisten.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EFSCSIDriver ServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSLocal OutpostClusterPolicy

Sie können diese Richtlinie mit IAM-Entitäten verknüpfen. Bevor Sie einen lokalen Cluster erstellen, müssen Sie diese Richtlinie Ihrer Cluster-Rolle anfügen. Kubernetes-Cluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Services auf. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Die AmazonEKSLocalOutpostClusterPolicy umfasst folgende Berechtigungen.

ec2-Leseaktionen – Ermöglicht es Steuerebenen-Instances, Eigenschaften von Availability Zones, Routing-Tabellen, Instances und Netzwerkschnittstellen zu beschreiben. Erforderliche Berechtigungen für EC2 Amazon-Instances, um dem Cluster erfolgreich als Kontrollebene-Instances beizutreten.
ssm— Ermöglicht Amazon EC2 Systems Manager Manager-Verbindung zur Kontrollebene-Instance, die von Amazon EKS zur Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.
logs— Ermöglicht Instances, Logs an Amazon zu übertragen CloudWatch.
secretsmanager— Ermöglicht Instances das sichere Abrufen und Löschen von Bootstrap-Daten für die Kontrollebeneninstanzen aus AWS Secrets Manager.
ecr – Ermöglicht Pods und Containern, die auf Instances auf der Steuerebene ausgeführt werden, das Abrufen von Container-Images, die in Amazon Elastic Container Registry gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSLocal OutpostClusterPolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: Amazon EKSLocal OutpostServiceRolePolicy

Sie können diese Richtlinie Ihren IAM-Entitäten nicht anfügen. Wenn Sie einen Cluster mit einem IAM-Prinzipal erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, erstellt Amazon EKS automatisch die serviceverknüpfte AWSServiceRoleforAmazonEKSLocalOutpost-Rolle für Sie und fügt ihr diese Richtlinie hinzu. Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, in Ihrem Namen AWS Dienste für lokale Cluster aufzurufen.

Die AmazonEKSLocalOutpostServiceRolePolicy umfasst folgende Berechtigungen.

ec2 – Ermöglicht Amazon EKS die Zusammenarbeit mit Sicherheits-, Netzwerk- und anderen Ressourcen, um Instances der Steuerebene in Ihrem Konto erfolgreich zu starten und zu verwalten.
ssm, ssmmessages — Ermöglicht Amazon EC2 Systems Manager eine Verbindung zu den Instances der Kontrollebene, die von Amazon EKS zur Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.
iam – Ermöglicht Amazon EKS die Verwaltung des Instance-Profils, das den Instances auf Steuerebene zugeordnet ist.
secretsmanager- Ermöglicht Amazon EKS, Bootstrap-Daten für die Instances der Kontrollebene in AWS Secrets Manager zu übertragen, sodass sie beim Instance-Bootstrapping sicher referenziert werden können.
outposts – Ermöglicht Amazon EKS, Outpost-Informationen von Ihrem Konto abzurufen, um einen lokalen Cluster in einem Outpost erfolgreich zu starten.

Die neueste Version des JSON-Richtliniendokuments finden Sie bei Amazon EKSLocal OutpostServiceRolePolicy im AWS Managed Policy Reference Guide.

Amazon EKS-Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon EKS an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen.

Um Benachrichtigungen über alle Änderungen an den Quelldateien dieser spezifischen Dokumentationsseite zu erhalten, können Sie die folgende URL mit einem RSS-Reader abonnieren:


https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom

Änderungen	Beschreibung	Date
Einführung von AWS verwaltete Richtlinie: Amazon EKSMCPRead OnlyAccess.	Amazon EKS führte eine neue verwaltete Richtlinie ein`AmazonEKSMCPReadOnlyAccess`, um schreibgeschützte Tools auf dem Amazon EKS MCP-Server für Beobachtbarkeit und Fehlerbehebung zu aktivieren.	21. November 2025
Berechtigungen zur EBSCSIDriverAmazon-Richtlinie hinzugefügt.	Es wurde die `ec2:CopyVolumes` Berechtigung hinzugefügt, dem EBS-CSI-Treiber das direkte Kopieren von EBS-Volumes zu ermöglichen.	17. November 2025
Berechtigung zu AWS verwaltete Richtlinie: Amazon EKSService RolePolicy hinzugefügt.	Hinzugefügt `ec2:DescribeRouteTables` und `ec2:DescribeNetworkAcls` Berechtigungen für`AmazonEKSServiceRolePolicy`. Auf diese Weise kann Amazon EKS im Rahmen von Cluster-Erkenntnissen Konfigurationsprobleme mit VPC-Routing-Tabellen und Netzwerken ACLs für Hybridknoten erkennen.	22. Oktober 2025
Berechtigung zu AWSServiceRoleForAmazonEKSConnector hinzugefügt	`ssmmessages:OpenDataChannel`Erlaubnis hinzugefügt zu `AmazonEKSConnectorServiceRolePolicy`	15. Oktober 2025
Berechtigung zu AWS verwaltete Richtlinie: Amazon EKSService RolePolicy hinzugefügt	Diese Rolle kann die neue Zugriffsrichtlinie `AmazonEKSEventPolicy` anfügen. Eingeschränkte Berechtigungen für `ec2:DeleteLaunchTemplate` und `ec2:TerminateInstances`.	26. August 2025
Berechtigung zu AWS verwaltete Richtlinie: Amazon EKSLocal OutpostServiceRolePolicy hinzugefügt	`ssmmessages:OpenDataChannel`-Berechtigung zu `AmazonEKSLocalOutpostServiceRolePolicy` hinzugefügt.	26. Juni 2025
Berechtigung zu AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie hinzugefügt.	Aktualisierte Ressourcenberechtigungen für die Aktionen `ec2:RunInstances` und `ec2:CreateFleet`, um Kapazitätsreservierungen `arn:aws: ec2:::capacity-reservation/*` einzuschließen. Dadurch kann Amazon EKS Auto Mode Instances mithilfe der EC2 On-Demand-Kapazitätsreservierungen in Ihrem Konto starten. Es wurde `iam:CreateServiceLinkedRole` hinzugefügt, damit Amazon EKS Auto Mode die mit dem EC2 Spot-Dienst verknüpfte Rolle in `AWSServiceRoleForEC2Spot` Ihrem Namen erstellen kann.	20. Juni 2025
Die Erlaubnis wurde Amazon hinzugefügt EKSServiceRolePolicy.	Es wurde die `ec2:DescribeCapacityReservations` Erlaubnis hinzugefügt, Amazon EKS Auto Mode zu erlauben, Instances mithilfe der EC2 On-Demand-Kapazitätsreservierungen in Ihrem Konto zu starten.	20. Juni 2025
Einführung von AWS verwaltete Richtlinie: Amazon EKSDashboard ConsoleReadOnly.	Neue `AmazonEKSDashboardConsoleReadOnly`-Richtlinie eingeführt.	19. Juni 2025
Einführung von AWS verwaltete Richtlinie: Amazon EKSDashboard ServiceRolePolicy.	Neue `AmazonEKSDashboardServiceRolePolicy`-Richtlinie eingeführt.	21. Mai 2025
Berechtigungen zur EKSClusterAmazon-Richtlinie hinzugefügt.	`ec2:DeleteNetworkInterfaces`-Berechtigung hinzugefügt, um Amazon EKS das Löschen von Elastic Network Interfaces zu ermöglichen, die zurückbleiben, wenn das VPC CNI unerwartet beendet wird.	16. April 2025
Die Erlaubnis wurde Amazon hinzugefügt EKSServiceRolePolicy.	Es wurden `ec2:AuthorizeSecurityGroupEgress` Berechtigungen hinzugefügt`ec2:RevokeSecurityGroupEgress`, die es AI/ML EKS-Kunden ermöglichen, als Teil der Version EKS 1.33 Sicherheitsgruppenausgangsregeln zur standardmäßigen EKS-Cluster-SG hinzuzufügen, die mit EFA kompatibel sind.	14. April 2025
Berechtigungen für Amazon hinzugefügt EKSServiceRolePolicy.	Die Berechtigung zum Beenden von EC2 Instances, die mit EKS Auto Mode erstellt wurden, wurde hinzugefügt.	28. Februar 2025
Berechtigungen zur EBSCSIDriverAmazon-Richtlinie hinzugefügt.	Eine neue Anweisung wurde hinzugefügt, die den EBS CSI-Treiber zur Wiederherstellung aller Snapshots autorisiert. Dies war zuvor durch die vorhandene Richtlinie zulässig, aufgrund einer Änderung in der Handhabung von IAM für `CreateVolume` ist jedoch eine neue explizite Anweisung erforderlich. Dem EBS CSI-Treiber wurde die Möglichkeit hinzugefügt, Tags auf vorhandenen Volumes zu ändern. Der EBS CSI-Treiber kann Tags vorhandener Volumes über Parameter in VolumeAttributesClasses Kubernetes ändern. Dem EBS-CSI-Treiber wurde die Möglichkeit hinzugefügt, Fast Snapshot Restore (FSR) in EBS-Volumes zu aktivieren. Der EBS-CSI-Treiber kann FSR auf neuen Volumes über Parameter in Kubernetes-Speicherklassen aktivieren.	13. Januar 2025
Berechtigungen zu AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy hinzugefügt.	`AmazonEKSLoadBalancingPolicy` wurde aktualisiert, um die Auflistung und Beschreibung von Netzwerk- und IP-Adressressourcen zu ermöglichen.	26. Dezember 2024
Berechtigungen zu AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup hinzugefügt.	`AWSServiceRoleForAmazonEKSNodegroup` für Kompatibilität mit chinesischen Regionen aktualisiert.	22. November 2024
Berechtigungen zu AWS verwaltete Richtlinie: Amazon EKSLocal OutpostClusterPolicy hinzugefügt	Es wurde eine `ec2:DescribeAvailabilityZones` Berechtigung hinzugefügt, `AmazonEKSLocalOutpostClusterPolicy` damit der AWS Cloud Controller Manager auf der Cluster-Steuerebene die Availability Zone identifizieren kann, in der sich jeder Knoten befindet.	21. November 2024
Berechtigungen zu AWS verwaltete Richtlinie: AWSService RoleForAmazon EKSNodegroup hinzugefügt.	Die `AWSServiceRoleForAmazonEKSNodegroup`-Richtlinie wurde so aktualisiert, dass Instances, die von Amazon EKS verwalteten Knotengruppen erstellt wurden, `ec2:RebootInstances` zulassen können. Die `ec2:CreateTags` Berechtigungen für EC2 Amazon-Ressourcen wurden eingeschränkt.	20. November 2024
Berechtigungen zu AWS verwaltete Richtlinie: Amazon EKSService RolePolicy hinzugefügt.	EKS hat die AWS verwaltete Richtlinie aktualisiert`AmazonEKSServiceRolePolicy`. Berechtigungen für EKS-Zugriffsrichtlinien, Load-Balancer-Verwaltung und automatische Bereinigung von Cluster-Ressourcen hinzugefügt.	16. November 2024
Einführung von AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie.	EKS hat die AWS verwaltete Richtlinie aktualisiert`AmazonEKSComputePolicy`. Aktualisierte Ressourcenberechtigungen für die Aktion `iam:AddRoleToInstanceProfile`.	7. November 2024
Einführung von AWS verwaltete Richtlinie: EKSCompute Amazon-Richtlinie.	AWS führte das ein`AmazonEKSComputePolicy`.	1. November 2024
Berechtigungen zu `AmazonEKSClusterPolicy` hinzugefügt	Berechtigung `ec2:DescribeInstanceTopology` hinzugefügt, damit Amazon EKS Topologieinformationen als Beschriftungen an den Knoten anfügen kann.	1. November 2024
Einführung von AWS verwaltete Richtlinie: Amazon EKSBlock StoragePolicy.	AWS führte die ein`AmazonEKSBlockStoragePolicy`.	30. Oktober 2024
Einführung von AWS verwaltete Richtlinie: Amazon EKSLoad BalancingPolicy.	AWS führte die ein`AmazonEKSLoadBalancingPolicy`.	30. Oktober 2024
Berechtigungen für Amazon hinzugefügt EKSServiceRolePolicy.	Es wurden `cloudwatch:PutMetricData` Berechtigungen hinzugefügt, die es Amazon EKS ermöglichen, Metriken auf Amazon zu veröffentlichen CloudWatch.	29. Oktober 2024
Einführung von AWS verwaltete Richtlinie: EKSNetworking Amazon-Richtlinie.	AWS führte das ein`AmazonEKSNetworkingPolicy`.	28. Oktober 2024
Berechtigungen zu `AmazonEKSServicePolicy` und `AmazonEKSServiceRolePolicy` hinzugefügt.	`ec2:GetSecurityGroupsForVpc` und zugehörige Tag-Berechtigungen hinzugefügt, damit EKS Sicherheitsgruppeninformationen lesen und zugehörige Tags aktualisieren kann.	10. Oktober 2024
Amazon eingeführt EKSWorkerNodeMinimalPolicy.	AWS führte das ein`AmazonEKSWorkerNodeMinimalPolicy`.	3. Oktober 2024
Berechtigungen zu AWSServiceRoleForAmazonEKSNodegroup hinzugefügt.	`autoscaling:ResumeProcesses`- und `autoscaling:SuspendProcesses`-Berechtigungen hinzugefügt, damit Amazon EKS `AZRebalance` in von Amazon EKS verwalteten Auto-Scaling-Gruppen anhalten und fortsetzen kann.	21. August 2024
Berechtigungen zu AWSServiceRoleForAmazonEKSNodegroup hinzugefügt.	`ec2:DescribeCapacityReservations`-Berechtigung hinzugefügt, um Amazon EKS das Beschreiben der Kapazitätsreservierung im Benutzerkonto zu ermöglichen. `autoscaling:PutScheduledUpdateGroupAction`-Berechtigung hinzugefügt, um die Einstellung der geplanten Skalierung für `CAPACITY_BLOCK`-Knotengruppen zu ermöglichen.	27. Juni 2024
AmazonEKS_CNI_Policy – Aktualisierung einer vorhandenen Richtlinie	Amazon EKS hat neue `ec2:DescribeSubnets`-Berechtigungen hinzugefügt, damit das Amazon-VPC-CNI-Plugin für Kubernetes die Anzahl der freien IP-Adressen in Ihren Amazon-VPC-Subnetzen sehen kann. Das VPC CNI kann die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen für die Erstellung einer elastischen Netzwerkschnittstelle auszuwählen.	4. März 2024
Amazon EKSWorker NodePolicy — Aktualisierung einer bestehenden Richtlinie	Amazon EKS wurden neue Berechtigungen hinzugefügt, die EKS-Pod-Identitäten zulassen. Der Amazon EKS Pod Identity-Agent verwendet die Knotenrolle.	26. November 2023
Einführung der EFSCSIDriverAmazon-Richtlinie.	AWS führte die ein`AmazonEFSCSIDriverPolicy`.	26. Juli 2023
Berechtigungen zur EKSClusterAmazon-Richtlinie hinzugefügt.	Die `ec2:DescribeAvailabilityZones`-Berechtigung wurde hinzugefügt, damit Amazon EKS die AZ-Details während der automatischen Subnetzerkennung beim Erstellen von Load Balancern abrufen kann.	07. Februar 2023
Die Versicherungsbedingungen in den EBSCSIDriverAmazon-Richtlinien wurden aktualisiert.	Ungültige Richtlinienbedingungen mit Platzhalterzeichen im `StringLike`-Schlüsselfeld wurden entfernt. Außerdem wurde eine neue Bedingung `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` zu `ec2:DeleteVolume` hinzugefügt, die es dem EBS-CSI-Treiber ermöglicht, vom In-Tree-Plugin erstellte Volumes zu löschen.	17. November 2022
Berechtigungen für Amazon hinzugefügt EKSLocalOutpostServiceRolePolicy.	`ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` und `ec2:DescribeSecret` wurden hinzugefügt, um eine bessere Validierung der Voraussetzungen und eine bessere Kontrolle des Lebenszyklus zu ermöglichen. Außerdem wurde `ec2:DescribePlacementGroups` und hinzugefügt`"arn:aws: ec2:::placement-group/*"`, `ec2:RunInstances` um die Platzierungskontrolle der EC2 Amazon-Instances auf der Kontrollebene auf Outposts zu unterstützen.	24. Oktober 2022
Aktualisieren Sie die Amazon Elastic Container Registry-Berechtigungen in Amazon EKSLocal OutpostClusterPolicy.	Die Aktion `ecr:GetDownloadUrlForLayer` wurde von allen Ressourcenabschnitten in einen Bereich mit begrenztem Umfang verschoben. Ressource `arn:aws: ecr:::repository/eks/` wurde hinzugefügt. Entfernen Sie die Ressource `arn:aws: ecr:`. Diese Ressource wird durch die hinzugefügte `arn:aws: ecr:::repository/eks/*`-Ressource abgedeckt.	20. Oktober 2022
Berechtigungen für Amazon hinzugefügt EKSLocalOutpostClusterPolicy.	Das `arn:aws: ecr:::repository/kubelet-config-updater` Repository der Amazon-Elastic-Container-Registry wurde hinzugefügt, damit die Cluster-Steuerebenen-Instances einige `kubelet`-Argumente aktualisieren können.	31. August 2022
Amazon eingeführt EKSLocalOutpostClusterPolicy.	AWS führte das ein`AmazonEKSLocalOutpostClusterPolicy`.	24. August 2022
Amazon eingeführt EKSLocalOutpostServiceRolePolicy.	AWS führte das ein`AmazonEKSLocalOutpostServiceRolePolicy`.	23. August 2022
Einführung der EBSCSIDriverAmazon-Richtlinie.	AWS führte die ein`AmazonEBSCSIDriverPolicy`.	4. April 2022
Berechtigungen für Amazon hinzugefügt EKSWorkerNodePolicy.	Hinzugefügt`ec2:DescribeInstanceTypes`, um Amazon EKS-Optimized zu aktivieren AMIs , das Eigenschaften auf Instance-Ebene auto erkennen kann.	21. März 2022
Berechtigungen zu AWSServiceRoleForAmazonEKSNodegroup hinzugefügt.	`autoscaling:EnableMetricsCollection`-Berechtigung hinzugefügt, um Amazon EKS die Aktivierung der Kennzahlenerfassung zu ermöglichen.	13. Dezember 2021
Berechtigungen zur EKSClusterAmazon-Richtlinie hinzugefügt.	`ec2:DescribeAccountAttributes`-, `ec2:DescribeAddresses`- und `ec2:DescribeInternetGateways`-Berechtigungen hinzugefügt, damit Amazon EKS eine serviceverknüpfte Rolle für einen Network Load Balancer erstellen kann.	17. Juni 2021
Amazon EKS hat mit der Nachverfolgung von Änderungen begonnen.	Amazon EKS hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.	17. Juni 2021

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Konnektor-IAM-Rolle

Fehlersuche