Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Vérification des autorisations des stratégies d’accès

Les stratégies d’accès incluent des rules qui contiennent des verbs (autorisations) et des resources Kubernetes. Les stratégies d’accès n’incluent pas d’autorisations IAM ni de ressources IAM. Similaires aux objets Kubernetes Role et ClusterRole, les stratégies d’accès ne contiennent que des rules allow. Vous ne pouvez pas modifier le contenu d’une stratégie d’accès. Vous ne pouvez pas créer vos propres stratégies d’accès. Si les autorisations fournies par les stratégies d’accès ne correspondent pas à vos besoins, créez des objets RBAC Kubernetes et indiquez des noms de groupes dans vos entrées d’accès. Pour de plus amples informations, veuillez consulter Créer des entrées d’accès. Les autorisations définies dans les stratégies d’accès sont similaires à celles fournies par les rôles de cluster Kubernetes destinés aux utilisateurs. Pour plus d’informations, consultez la section Rôles destinés aux utilisateurs dans la documentation Kubernetes.

Liste de toutes les stratégies

Utilisez l'une des politiques d'accès répertoriées sur cette page ou récupérez la liste de toutes les politiques d'accès disponibles à l'aide de la AWS CLI :


aws eks list-access-policies

Le résultat attendu doit ressembler à ceci (abrégé par souci de concision) :

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

EKSAdminPolitique d'Amazon

Cette stratégie d'accès inclut des autorisations qui accordent à un principal IAM le plus grand nombre d'autorisations sur les ressources. Lorsqu’elle est associée à une entrée d’accès, sa portée d’accès correspond généralement à un ou plusieurs espaces de noms Kubernetes. Si vous souhaitez qu'un principal IAM dispose d'un accès administrateur à toutes les ressources de votre cluster, associez plutôt la stratégie d'accès Amazon EKSCluster AdminPolicy à votre entrée d'accès.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`authorization.k8s.io`	`localsubjectaccessreviews`	`create`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
`rbac.authorization.k8s.io`	`rolebindings`, `roles`	`create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`,`list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`serviceaccounts`	`impersonate`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`,`list`, `watch`

Amazon EKSCluster AdminPolicy

Cette stratégie d'accès inclut des autorisations qui accordent à un administrateur principal IAM l'accès à un cluster. Lorsqu’elle est associée à une entrée d’accès avec portée Cluster, sa portée concerne l’ensemble du cluster, plutôt qu’un espace de noms unique. Si vous souhaitez qu'un principal IAM ait une portée administrative plus limitée, pensez plutôt à associer la stratégie d'accès EKSAdminPolitique d'Amazon à votre entrée d'accès.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Groupes d’API Kubernetes	Kubernetes Non-Resource URLs	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`*`		`*`	`*`
	`*`		`*`

Amazon EKSAdmin ViewPolicy

Cette politique d'accès inclut des autorisations qui accordent à un IAM principal l'accès à list/view toutes les ressources d'un cluster. Notez que cela inclut les secrets Kubernetes.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`*`	`*`	`get`, `list`, `watch`

EKSEditPolitique d'Amazon

Cette stratégie d’accès inclut des autorisations permettant à un principal IAM de modifier la plupart des ressources Kubernetes.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`serviceaccounts`	`impersonate`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`

EKSViewPolitique d'Amazon

Cette stratégie d’accès inclut des autorisations permettant à un principal IAM de consulter la plupart des ressources Kubernetes.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, r`esourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`

Amazon EKSSecret ReaderPolicy

Cette politique d'accès inclut des autorisations qui permettent à un principal IAM de lire les secrets Kubernetes.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
	`secrets`	`get`, `list`, `watch`

Amazon EKSAuto NodePolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Cette stratégie inclut les autorisations suivantes, permettant aux composants Amazon EKS d’accomplir les tâches suivantes :

kube-proxy : surveiller les points de terminaison réseau et les services, et gérer les événements associés. Cela permet d’activer la fonctionnalité de proxy réseau à l’échelle du cluster.
ipamd— Gérez les ressources réseau AWS VPC et les interfaces réseau de conteneurs (CNI). Cela permet au démon de gestion des adresses IP de gérer le réseau des pods.
coredns : accéder aux ressources de découverte de services telles que les points de terminaison et les services. Cela permet la résolution DNS au sein du cluster.
ebs-csi-driver : gérer les ressources liées au stockage pour les volumes Amazon EBS. Cela permet le provisionnement dynamique et l’attachement des volumes persistants.
neuron— Surveillez les nœuds et les pods des appareils AWS Neuron. Cela permet de gérer les accélérateurs AWS Inferentia et Trainium.
node-monitoring-agent : accéder aux diagnostics et événements des nœuds. Cela permet la surveillance de l’état du cluster et la collecte des diagnostics.

Chaque composant utilise un compte de service dédié et ne dispose que des autorisations nécessaires à sa fonction spécifique.

Si vous spécifiez manuellement un rôle Node IAM dans un NodeClass, vous devez créer une entrée d'accès qui associe le nouveau rôle Node IAM à cette politique d'accès.

Amazon EKSBlock StoragePolicy

Note

Cette politique s'applique uniquement aux rôles AWS liés aux services et ne peut pas être utilisée avec des rôles gérés par le client.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Cette stratégie inclut des autorisations permettant à Amazon EKS de gérer l’élection du leader et les ressources de coordination pour les opérations de stockage :

coordination.k8s.io : créer et gérer des objets Lease pour l’élection du leader. Cela permet aux composants de stockage EKS de coordonner leurs opérations dans tout le cluster grâce à un mécanisme d’élection du leader.

La stratégie est limitée à des ressources de location spécifiques utilisées par les composants de stockage EKS, afin d’éviter tout conflit d’accès avec d’autres ressources de coordination présentes dans le cluster.

Amazon EKS crée automatiquement une entrée d’accès avec cette stratégie d’accès pour le rôle IAM du cluster lorsque le mode automatique est activé, garantissant que les autorisations nécessaires sont en place pour que la fonctionnalité de stockage par blocs fonctionne correctement.

Amazon EKSLoad BalancingPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Cette stratégie inclut des autorisations qui permettent à Amazon EKS de gérer les ressources d’élection du leader pour l’équilibrage de charge :

coordination.k8s.io : créer et gérer des objets Lease pour l’élection du leader. Cela permet aux composants d’équilibrage de charge EKS de coordonner leurs activités entre plusieurs réplicas grâce à l’élection d’un leader.

La stratégie est limitée aux ressources de location dédiées à l’équilibrage de charge afin d’assurer une bonne coordination, tout en empêchant l’accès à d’autres ressources de location du cluster.

EKSNetworkingPolitique d'Amazon

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Cette stratégie inclut des autorisations qui permettent à Amazon EKS de gérer les ressources d’élection du leader pour les opérations réseau :

coordination.k8s.io : créer et gérer des objets Lease pour l’élection du leader. Cela permet aux composants réseau EKS de coordonner les activités d’allocation d’adresses IP grâce à l’élection d’un leader.

La stratégie est limitée aux ressources de location dédiées au réseau afin d’assurer une bonne coordination, tout en empêchant l’accès à d’autres ressources de location du cluster.

EKSComputePolitique d'Amazon

Note

Cette politique s'applique uniquement aux rôles AWS liés aux services et ne peut pas être utilisée avec des rôles gérés par le client.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Cette stratégie inclut des autorisations permettant à Amazon EKS de gérer les ressources d’élection du leader pour les opérations de calcul :

coordination.k8s.io : créer et gérer des objets Lease pour l’élection du leader. Cela permet aux composants de calcul EKS de coordonner les activités de mise à l’échelle des nœuds grâce à l’élection d’un leader.

La stratégie est limitée aux ressources de location dédiées à la gestion du calcul, tout en autorisant un accès en lecture de base (get, watch) à toutes les ressources de location du cluster.

Amazon EKSBlock StorageClusterPolicy

Note

Cette politique s'applique uniquement aux rôles AWS liés aux services et ne peut pas être utilisée avec des rôles gérés par le client.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Cette politique accorde les autorisations nécessaires pour la fonctionnalité de stockage en blocs du mode automatique Amazon EKS. Elle permet une gestion efficace des ressources de stockage par blocs au sein des clusters Amazon EKS. La stratégie inclut les autorisations suivantes :

Gestion des pilotes CSI :

Créer, lire, mettre à jour et supprimer les pilotes CSI, spécifiquement pour le stockage par blocs.

Gestion des volumes :

Répertorier, surveiller, créer, mettre à jour, patcher et supprimer les volumes persistants.
Répertorier, surveiller et mettre à jour les demandes de volumes persistants.
Corriger l’état des demandes de volumes persistants.

Interaction entre les nœuds et les pods :

Lire les informations sur les nœuds et les pods.
Gérer les événements liés aux opérations de stockage.

Classes de stockage et attributs :

Lire les classes de stockage et les nœuds CSI.
Lire les classes d’attributs de volume.

Attachements de volumes :

Répertorier, surveiller et modifier les attachements de volumes et leurs statuts.

Opérations d’instantanés :

Gérer les instantanés de volumes, le contenu des instantanés et les classes d’instantanés.
Gérer les opérations pour les instantanés de groupes de volumes et les ressources associées.

Cette politique est conçue pour prendre en charge la gestion complète du stockage en blocs au sein des clusters Amazon EKS s’exécutant en mode automatique. Elle combine les autorisations nécessaires pour les opérations de provisionnement, attachement, redimensionnement et création d’instantanés de volumes de stockage par blocs.

Amazon EKSCompute ClusterPolicy

Note

Cette politique s'applique uniquement aux rôles AWS liés aux services et ne peut pas être utilisée avec des rôles gérés par le client.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Cette politique accorde les autorisations nécessaires à la fonctionnalité de gestion du calcul du mode automatique Amazon EKS. Elle permet une orchestration efficace et une mise à l’échelle des ressources de calcul au sein des clusters Amazon EKS. La stratégie inclut les autorisations suivantes :

Gestion des nœuds :

Créez, lisez, mettez à jour, supprimez et gérez le statut de NodePools et NodeClaims.
Gérez NodeClasses, y compris la création, la modification et la suppression.

Gestion de la planification et des ressources :

Accès en lecture aux pods, aux nœuds, aux volumes persistants, aux demandes de volumes persistants, aux contrôleurs de réplication et aux espaces de noms.
Accès en lecture aux classes de stockage, aux nœuds CSI et aux attachements de volumes.
Répertorier et surveiller les déploiements, les ensembles de démons, les ensembles de réplicas et les ensembles avec état.
Accès en lecture aux budgets d’interruption des pods.

Gestion des événements :

Créer, lire et gérer les événements du cluster.

Déprovisionnement des nœuds et éviction des pods :

Mettre à jour, corriger et supprimer des nœuds.
Créer des évictions de pods et supprimer des pods lorsque nécessaire.

Gestion des définitions de ressources personnalisées (CRD) :

Créez un nouveau CRDs.
Gérez les CRDs éléments spécifiques liés à la gestion des nœuds (NodeClasses NodePools NodeClaims,, et NodeDiagnostics).

Cette stratégie est conçue pour assurer une gestion complète des ressources de calcul au sein des clusters Amazon EKS exécutés en mode automatique. Elle regroupe les autorisations nécessaires pour des opérations telles que le provisionnement des nœuds, la planification, la mise à l’échelle et l’optimisation des ressources.

Amazon EKS crée automatiquement une entrée d’accès avec cette stratégie d’accès pour le rôle IAM du cluster lorsque le mode automatique est activé, garantissant ainsi que les autorisations nécessaires à la gestion du calcul sont correctement appliquées.

Amazon EKSLoad BalancingClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Cette stratégie accorde les autorisations nécessaires pour la fonctionnalité d’équilibrage de charge du mode automatique Amazon EKS. Elle permet une gestion et une configuration efficaces des ressources d’équilibrage de charge au sein des clusters Amazon EKS. La stratégie inclut les autorisations suivantes :

Gestion des événements et des ressources :

Créer et corriger des événements.
Accès en lecture aux pods, aux nœuds, aux points de terminaison et aux espaces de noms.
Mettre à jour l’état des pods.

Gestion des ressources Service et Ingress :

Gestion complète des services et de leurs états.
Contrôle complet des ressources Ingress et de leurs états.
Accès en lecture aux tranches de points de terminaison et aux classes de ressources Ingress.

Liaisons de groupes cibles :

Créer et modifier les liaisons de groupes cibles et leurs états.
Accès en lecture aux paramètres de la classe de ressources Ingress.

Gestion des définitions de ressources personnalisées (CRD) :

Créez et lisez tout CRDs.
Gestion spécifique de targetgroupbindings.eks.amazonaws.com et ingressclassparams.eks.amazonaws.com. CRDs

Configuration des webhooks :

Créer et lire des configurations de webhooks de type mutant et validant.
Gérez la eks-load-balancing-webhook configuration.

Cette stratégie est conçue pour assurer une gestion complète de l’équilibrage de charge au sein des clusters Amazon EKS exécutés en mode automatique. Il combine des autorisations pour diverses opérations, notamment l'exposition aux services, le routage d'entrée et l'intégration aux services d'équilibrage de AWS charge.

Amazon EKS crée automatiquement une entrée d’accès associée à cette stratégie d’accès pour le rôle IAM du cluster lorsque le mode automatique est activé, garantissant ainsi que les autorisations nécessaires à la fonctionnalité d’équilibrage de charge sont correctement appliquées.

Amazon EKSNetworking ClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

Amazon EKSNetworking ClusterPolicy

Cette stratégie accorde les autorisations nécessaires à la fonctionnalité réseau du mode automatique Amazon EKS. Elle permet une gestion et une configuration efficaces des ressources réseau au sein des clusters Amazon EKS. La stratégie inclut les autorisations suivantes :

Gestion des nœuds et des pods :

Accès en lecture à NodeClasses et à leurs statuts.
Accès en lecture à NodeClaims et à leurs statuts.
Accès en lecture aux pods.

Gestion des nœuds CNI :

Les autorisations CNINodes et leur statut, y compris la création, la lecture, la mise à jour, la suppression et le correctif.

Gestion des définitions de ressources personnalisées (CRD) :

Créez et lisez tout CRDs.
Gestion spécifique (mise à jour, correction, suppression) de la CRD cninodes.eks.amazonaws.com.

Gestion des événements :

Créer et corriger des événements.

Cette stratégie est conçue pour assurer une gestion complète du réseau au sein des clusters Amazon EKS exécutés en mode automatique. Elle regroupe les autorisations nécessaires pour diverses opérations, incluant la configuration réseau des nœuds, la gestion CNI (Container Network Interface) et la gestion des ressources personnalisées liées au réseau.

La stratégie permet aux composants réseau d’interagir avec les ressources liées aux nœuds, de gérer les configurations spécifiques CNI des nœuds, et de traiter les ressources personnalisées essentielles aux opérations réseau dans le cluster.

EKSHybridPolitique d'Amazon

Note

Cette politique s'applique uniquement aux rôles AWS liés aux services et ne peut pas être utilisée avec des rôles gérés par le client.

Cette stratégie d’accès inclut des autorisations qui permettent à Amazon EKS d’accéder aux nœuds d’un cluster. Lorsqu’elle est associée à une entrée d’accès avec portée Cluster, sa portée concerne l’ensemble du cluster, plutôt qu’un espace de noms unique. Cette stratégie est utilisée par les nœuds hybrides Amazon EKS.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Groupes d’API Kubernetes	Kubernetes Non-Resource URLs	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`*`		`nodes`	`list`

Amazon EKSCluster InsightsPolicy

Note

Cette politique s'applique uniquement aux rôles AWS liés aux services et ne peut pas être utilisée avec des rôles gérés par le client.

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Cette stratégie accorde des autorisations en lecture seule pour la fonctionnalité EKS Cluster Insights. La stratégie inclut les autorisations suivantes :

Accès aux nœuds : - Répertorier et afficher les nœuds du cluster - Lire les informations sur l’état des nœuds

DaemonSet Accès : - Accès en lecture à la configuration de kube-proxy

Cette stratégie est automatiquement gérée par le service EKS pour la fonctionnalité Cluster Insights. Pour de plus amples informations, veuillez consulter Préparation aux mises à niveau des versions Kubernetes et résolution des erreurs de configuration grâce aux informations sur les clusters.

AWSBackupFullAccessPolicyForBackup

ARN – arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

Cette politique accorde les autorisations nécessaires à AWS Backup pour gérer et créer des sauvegardes du cluster EKS. Cette politique inclut les autorisations suivantes :

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`*`	`*`	`list`, `get`

AWSBackupFullAccessPolicyForRestore

ARN – arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

Cette politique accorde les autorisations nécessaires à AWS Backup pour gérer et restaurer les sauvegardes du cluster EKS. Cette politique inclut les autorisations suivantes :

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`*`	`*`	`list`, `get`, `create`

Amazon EKSACKPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy

Cette politique accorde les autorisations nécessaires pour que les AWS Controllers for Kubernetes (ACK) puissent gérer les AWS ressources de Kubernetes. La stratégie inclut les autorisations suivantes :

Gestion personnalisée des ressources ACK :

Accès complet à toutes les ressources personnalisées du service ACK sur plus de 50 AWS services, notamment S3, RDS, DynamoDB, Lambda, etc. EC2
Créez, lisez, mettez à jour et supprimez les définitions de ressources personnalisées ACK.

Accès à l'espace de noms :

Accès en lecture aux espaces de noms pour l'organisation des ressources.

Élection du chef :

Créez et lisez des baux de coordination pour l'élection des dirigeants.
Mettez à jour et supprimez les baux spécifiques des contrôleurs de service ACK.

Gestion des événements :

Créez et corrigez des événements pour les opérations ACK.

Cette politique est conçue pour prendre en charge la gestion complète AWS des ressources via Kubernetes APIs. Amazon EKS crée automatiquement une entrée d'accès avec cette politique d'accès pour le rôle IAM de fonctionnalité que vous fournissez lors de la création de la fonctionnalité ACK.

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
	`namespaces`	`get`, `watch`, `list`
`services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws`	`*`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases`(location de contrôleurs de service ACK spécifiques uniquement)	`delete`, `update`, `patch`
	`events`	`create`, `patch`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`

EKSArgoCDClusterPolitique d'Amazon

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

Cette politique accorde les autorisations nécessaires au niveau du cluster pour permettre à Argo CD de découvrir des ressources et de gérer les objets délimités au cluster. La stratégie inclut les autorisations suivantes :

Gestion de l'espace de noms :

Créez, lisez, mettez à jour et supprimez des espaces de noms pour la gestion des espaces de noms d'applications.

Gestion des définitions de ressources personnalisées :

Gérez les applications spécifiques à Argo CD CRDs (Applications, AppProjects, ApplicationSets).

Découverte d'API :

Accès en lecture aux points de terminaison de l'API Kubernetes pour la découverte des ressources.

Cette politique est conçue pour prendre en charge les opérations Argo CD au niveau du cluster, notamment la gestion des espaces de noms et l'installation du CRD. Amazon EKS crée automatiquement une entrée d'accès avec cette politique d'accès pour le rôle IAM de fonctionnalité que vous fournissez lors de la création de la fonctionnalité Argo CD.

Groupes d’API Kubernetes	Kubernetes Non-Resource URLs	Ressources Kubernetes	Verbes (autorisations) Kubernetes
		`namespaces`	`create`, `get`, `update`, `patch`, `delete`
`apiextensions.k8s.io`		`customresourcedefinitions`	`create`
`apiextensions.k8s.io`		`customresourcedefinitions`(Argo CD CRDs uniquement)	`get`, `update`, `patch`, `delete`
	`/api`, `/api/`, `/apis`, `/apis/`		`get`

Amazon EKSArgo CDPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

Cette politique accorde les autorisations au niveau de l'espace de noms nécessaires pour que l'Argo CD puisse déployer et gérer des applications. La stratégie inclut les autorisations suivantes :

Gestion des secrets :

Accès complet aux secrets relatifs aux informations d'identification Git et aux secrets du cluster.

ConfigMap Accès :

Accès en lecture ConfigMaps à pour envoyer des avertissements si les clients essaient d'utiliser un Argo CD non compatible. ConfigMaps

Gestion des événements :

Lisez et créez des événements pour le suivi du cycle de vie des applications.

Gestion des ressources Argo CD :

Accès complet aux applications ApplicationSets, et AppProjects.
Gérez les finaliseurs et le statut des ressources Argo CD.

Cette politique est conçue pour prendre en charge les opérations Argo CD au niveau de l'espace de noms, y compris le déploiement et la gestion des applications. Amazon EKS crée automatiquement une entrée d'accès avec cette politique d'accès pour le rôle IAM de fonctionnalité que vous fournissez lors de la création de la fonctionnalité Argo CD, dans le cadre de l'espace de noms Argo CD.

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
	`secrets`	`*`
	`configmaps`	`get`, `list`, `watch`
	`events`	`get`, `list`, `watch`, `patch`, `create`
`argoproj.io`	`applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status`	`*`

Amazon EKSKROPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy

Cette politique accorde les autorisations nécessaires à la capacité kro (Kube Resource Orchestrator) de créer et de gérer des Kubernetes personnalisés. APIs La stratégie inclut les autorisations suivantes :

Gestion des ressources kro :

Accès complet à toutes les ressources Kro, y compris ResourceGraphDefinitions les instances de ressources personnalisées.

Gestion des définitions de ressources personnalisées :

Créez, lisez, mettez à jour et supprimez CRDs pour les options personnalisées APIs définies par ResourceGraphDefinitions.

Élection du chef :

Créez et lisez des baux de coordination pour l'élection des dirigeants.
Mettez à jour et supprimez le bail du contrôleur Kro.

Gestion des événements :

Créez et corrigez des événements pour les opérations Kro.

Cette politique est conçue pour prendre en charge la composition complète des ressources et la gestion personnalisée des API via kro. Amazon EKS crée automatiquement une entrée d'accès avec cette politique d'accès pour le rôle IAM de fonctionnalité que vous fournissez lors de la création de la fonctionnalité kro.

Groupes d’API Kubernetes	Ressources Kubernetes	Verbes (autorisations) Kubernetes
`kro.run`	`*`	`*`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases`(location de manette Kro uniquement)	`delete`, `update`, `patch`
	`events`	`create`, `patch`

Mises à jour des stratégies d'accès

Affichez les détails sur les mises à jour des stratégies d'accès depuis leur introduction. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS de la page Historique du document.

Modifier	Description	Date
Ajouter des politiques pour les fonctionnalités EKS	Publier`AmazonEKSACKPolicy`, `AmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicy`, et `AmazonEKSKROPolicy` pour gérer les fonctionnalités d'EKS	22 novembre 2025
Addition `AmazonEKSSecretReaderPolicy`	Ajouter une nouvelle politique pour l'accès en lecture seule aux secrets	6 novembre 2025
Ajout de la stratégie pour EKS Cluster Insights	Publication `AmazonEKSClusterInsightsPolicy`	2 décembre 2024
Ajout des stratégies pour Amazon EKS Hybrid	Publication `AmazonEKSHybridPolicy`	2 décembre 2024
Ajout des stratégies pour le mode automatique Amazon EKS	Ces politiques d'accès autorisent le rôle IAM du cluster et le rôle IAM du nœud à appeler Kubernetes. APIs AWS les utilise pour automatiser les tâches de routine relatives aux ressources de stockage, de calcul et de réseau.	2 décembre 2024
Addition `AmazonEKSAdminViewPolicy`	Ajout d’une nouvelle stratégie pour étendre les autorisations de visualisation, incluant l’accès à des ressources comme Secrets.	23 avril 2024
Stratégies d'accès introduites.	Amazon EKS a introduit des stratégies d'accès.	29 mai 2023

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Migration pour accéder aux entrées

Mode d’authentification