Integración con Amazon EKS
Las investigaciones de CloudWatch pueden utilizar la información directamente del clúster de Amazon EKS. Para comenzar, conceda antes acceso al rol de IAM Investigation Group. Recomendamos utilizar la política de acceso AmazonAIOpsAssistantPolicy aconsejada que concede a las investigaciones de CloudWatch acceso a los recursos del clúster. Al usar esta política, recibirá actualizaciones de la política automáticamente a medida que se agreguen nuevas funciones.
nota
AmazonAIOpsAssistantPolicy es una política de acceso. La política de identidad que autoriza el acceso asociado a las investigaciones de CloudWatch es AIOpsAssistantPolicy.
Utilice la opción Configuración avanzada para limitar el acceso que proporciona la política de acceso a un conjunto de espacios de nombres o a todo el clúster. Como alternativa, puede reducir aún más el acceso. Para ello, asocie la entrada de acceso a un permiso RBAC de un grupo de Kubernetes. Para obtener más información, consulte Creación de entradas de acceso.
Configuración de la entrada de acceso a Amazon EKS (consola)
Para asociar AmazonAIOpsAssistantPolicy al rol de investigación mediante la Consola de administración de AWS, siga estos pasos:
-
Abra la consola de CloudWatch y vaya a la página Configuración de investigaciones.
-
En la sección Acceso de Amazon EKS, seleccione la opción para asociar
AmazonAIOpsAssistantPolicyal rol de investigación. -
Revise los detalles de la política y confirme la asociación.
Para personalizar aún más el ámbito del acceso:
-
Haga clic en Configuración avanzada en la sección Acceso de Amazon EKS.
-
Se le redirigirá a la consola de Amazon EKS.
-
En la consola de Amazon EKS, puede:
-
Limitar la política a espacios de nombres específicos
-
Configurar la característica de grupo para un control de acceso más detallado
-
Configuración de entradas de acceso de Amazon EKS (CDK)
Para configurar las entradas de acceso de Amazon EKS mediante el AWS CDK, utilice el siguiente ejemplo de código:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
La política de acceso de Amazon EKS, AmazonAIOpsAssistantPolicy, proporciona un acceso integral de solo lectura a los recursos del clúster. Es posible que Investigaciones de CloudWatch no utilice actualmente la información de cada recurso.
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
Actualizaciones a AmazonAIOpsAssistantPolicy
| Cambio | Descripción | Fecha |
|---|---|---|
| Adición de una política para investigaciones de CloudWatch | Publicación inicial de AmazonAIOpsAssistantPolicy |
9 de agosto de 2025 |
