Concesión a los servicios de AWS de acceso de escritura a las API de Kubernetes - Amazon EKS
Permisos necesariosVisibilidad en CloudTrail

Ayude a mejorar esta página

Para contribuir a esta guía del usuario, elija el enlace Edit this page on GitHub que se encuentra en el panel derecho de cada página.

Concesión a los servicios de AWS de acceso de escritura a las API de Kubernetes

Permisos necesarios

Para permitir que los servicios de AWS realicen operaciones de escritura en los recursos de Kubernetes del clúster de Amazon EKS, debe conceder tanto el permiso eks:AccessKubernetesApi como el eks:MutateViaKubernetesApi de IAM.

Por ejemplo, Amazon SageMaker HyperPod utiliza estos permisos para habilitar la implementación de modelos desde Amazon SageMaker AI Studio. Para obtener más información, consulte Configuración de permisos opcionales del SDK de JavaScript en la Guía para desarrolladores de Amazon SageMaker AI.

importante

Las operaciones de escritura, como crear, actualizar y eliminar, requieren ambos permisos; si falta alguno de ellos, las operaciones de escritura fallarán.

Visibilidad en CloudTrail

Mientras realiza operaciones de escritura en recursos de Kubernetes, verá nombres de operaciones específicos en los registros de CloudTrail:

  • createKubernetesObject: cuando se crean nuevos recursos

  • updateKubernetesObject: cuando se modifican recursos existentes

  • deleteKubernetesObject: cuando se eliminan recursos

Estos eventos de CloudTrail proporcionan registros de auditoría detallados de todas las modificaciones realizadas en los recursos de Kubernetes.

nota

Estos nombres de operaciones aparecen en los registros de CloudTrail únicamente con fines de auditoría. No son acciones de IAM y no se pueden utilizar en declaraciones de políticas de IAM. Para controlar el acceso de escritura a los recursos de Kubernetes mediante políticas de IAM, utilice el permiso eks:MutateViaKubernetesApi como se muestra en la sección Permisos necesarios.