Accorder AWS aux services l'accès en écriture à Kubernetes APIs - Amazon EKS
Autorisations requisesCloudTrail visibilité

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accorder AWS aux services l'accès en écriture à Kubernetes APIs

Autorisations requises

Pour permettre aux AWS services d'effectuer des opérations d'écriture sur les ressources Kubernetes de votre cluster Amazon EKS, vous devez accorder à la fois les autorisations IAM eks:AccessKubernetesApi et eks:MutateViaKubernetesApi IAM.

Par exemple, Amazon SageMaker HyperPod utilise ces autorisations pour permettre le déploiement de modèles depuis SageMaker AI Studio. Pour plus d'informations, consultez la section Configurer les autorisations facultatives du JavaScript SDK dans le manuel Amazon SageMaker AI Developer Guide.

Important

Les opérations d'écriture telles que la création, la mise à jour et la suppression nécessitent les deux autorisations. Si l'une d'entre elles est absente, les opérations d'écriture échoueront.

CloudTrail visibilité

Lorsque vous effectuez des opérations d'écriture sur les ressources Kubernetes, vous verrez des noms d'opérations spécifiques dans vos journaux : CloudTrail

  • createKubernetesObject- Lors de la création de nouvelles ressources

  • updateKubernetesObject- Lors de la modification de ressources existantes

  • deleteKubernetesObject- Lors de la suppression de ressources

Ces CloudTrail événements fournissent des pistes d'audit détaillées de toutes les modifications apportées à vos ressources Kubernetes.

Note

Ces noms d'opérations apparaissent dans les CloudTrail journaux à des fins d'audit uniquement. Il ne s'agit pas d'actions IAM et ne peuvent pas être utilisées dans les déclarations de politique IAM. Pour contrôler l'accès en écriture aux ressources Kubernetes par le biais de politiques IAM, utilisez l'eks:MutateViaKubernetesApiautorisation indiquée dans la section. Autorisations requises