Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Intégration à Amazon EKS
CloudWatch les groupes d'investigation peuvent utiliser les informations provenant directement de votre cluster Amazon EKS. Pour commencer, accordez d’abord les autorisations nécessaires au rôle IAM du Investigation Group. Nous recommandons d'utiliser la politique d'accès AWS géré par défaut AmazonAIOpsAssistantPolicy qui accorde aux groupes d' CloudWatch investigation l'accès aux ressources du cluster. En utilisant cette stratégie, vous recevrez automatiquement les mises à jour des stratégies si nécessaire.
Note
AmazonAIOpsAssistantPolicy est une stratégie d’accès. La politique d'identité AWS gérée qui autorise l'accès associé aux CloudWatch enquêtes et aux groupes d'investigation est AIOpsAssistantPolicy.
Utilisez l’option Configuration avancée pour limiter la portée d’accès définie par la stratégie d’accès à un ensemble d’espaces de noms ou à l’ensemble du cluster. Vous pouvez également étendre l’accès en associant l’entrée d’accès à une autorisation RBAC du groupe Kubernetes. Pour plus d’informations, consultez Création des entrées d’accès.
Configuration d’une entrée d’accès Amazon EKS (console)
Pour associer le rôle d'investigation AmazonAIOpsAssistantPolicy à l'aide de la console AWS de gestion, procédez comme suit :
-
Ouvrez la CloudWatch console et accédez à la page de configuration des enquêtes.
-
Dans la section Accès Amazon EKS, sélectionnez l’option permettant d’associer la
AmazonAIOpsAssistantPolicyà votre rôle d’enquête. -
Examinez les détails de la stratégie, puis confirmez l’association.
Pour personnaliser davantage la portée d’accès :
-
Cliquez sur Configuration avancée dans la section Accès Amazon EKS.
-
Vous serez redirigé vers la console Amazon EKS.
-
Dans la console Amazon EKS, vous pouvez :
-
Limiter la portée de la stratégie à des espaces de noms spécifiques
-
Configurer la fonctionnalité de groupe pour un contrôle d’accès plus précis
-
Configuration des entrées d’accès Amazon EKS (CDK)
Pour configurer les entrées Amazon EKS Access à l'aide du AWS CDK, utilisez l'exemple de code suivant :
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
Amazon AIOps AssistantPolicy
La stratégie d’accès Amazon EKS, AmazonAIOpsAssistantPolicy, accorde un accès complet en lecture seule aux ressources du cluster. Les informations provenant de chaque ressource ne sont peut-être pas actuellement utilisées par CloudWatch les enquêtes.
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
Mises à jour d'Amazon AIOps AssistantPolicy
| Modifier | Description | Date |
|---|---|---|
| Ajouter une politique pour les CloudWatch enquêtes | Première version de AmazonAIOpsAssistantPolicy |
9 août 2025 |
