Politiques gérées par AWS pour Amazon Elastic Kubernetes Service - Amazon EKS
Politique gérée par AWS : AmazonEKS_CNI_PolicyPolitique gérée par AWS : AmazonEKSClusterPolicyPolitique gérée par AWS : AmazonEKSDashboardConsoleReadOnlyAWSPolitique gérée par  : AmazonEKSFargatePodExecutionRolePolicyPolitique gérée par AWS : AmazonEKSForFargateServiceRolePolicyPolitique gérée par AWS : AmazonEKSComputePolicyPolitique gérée par AWS : AmazonEKSNetworkingPolicyPolitique gérée par AWS : AmazonEKSBlockStoragePolicyPolitique gérée par AWS : AmazonEKSLoadBalancingPolicyPolitique gérée par AWS : AmazonEKSServicePolicyPolitique gérée par AWS : AmazonEKSServiceRolePolicyPolitique gérée par AWS : AmazonEKSVPCResourceControllerPolitique gérée par AWS : AmazonEKSWorkerNodePolicyPolitique gérée par AWS : AmazonEKSWorkerNodeMinimalPolicyPolitique gérée par AWS : AWSServiceRoleForAmazonEKSNodegroupPolitique gérée par AWS : AmazonEKSDashboardServiceRolePolicyPolitique gérée par AWS : AmazonEBSCSIDriverPolicyPolitique gérée par AWS : AmazonEFSCSIDriverPolicyPolitique gérée AWS : AmazonEKSLocalOutpostClusterPolicyPolitique gérée par AWS : AmazonEKSLocalOutpostServiceRolePolicyMises à jour Amazon EKS pour les politiques gérées par AWS

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Politiques gérées par AWS pour Amazon Elastic Kubernetes Service

Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau service AWS est lancé ou que de nouvelles opérations API deviennent accessibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

Politique gérée par AWS : AmazonEKS_CNI_Policy

Vous pouvez attacher AmazonEKS_CNI_Policy à vos entités IAM. Avant de créer un groupe de nœuds Amazon EC2, cette politique doit être associée soit au rôle IAM du nœud, soit à un rôle IAM utilisé spécifiquement par le plug-in CNI Amazon VPC pour Kubernetes. Ceci lui permet d'effectuer des actions en votre nom. Nous vous recommandons d’associer la politique à un rôle utilisé uniquement par le plug-in. Pour plus d’informations, consultez Attribuer des adresses IP aux pods avec Amazon VPC CNI et Configuration du plug-in Amazon VPC CNI pour utiliser IRSA.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • ec2:*NetworkInterface et ec2:*PrivateIpAddresses  : permet au plug-in CNI Amazon VPC d’effectuer des actions telles que le provisionnement d’interfaces réseau Elastic et d’adresses IP pour les pods afin de fournir une mise en réseau pour les applications qui s’exécutent dans Amazon EKS.

  • Actions de lecture ec2 : permet au plug-in CNI Amazon VPC d’effectuer des actions telles que la description d’instances et de sous-réseaux afin de connaître le nombre d’adresses IP libres dans vos sous-réseaux Amazon VPC. Le CNI VPC peut utiliser les adresses IP libres dans chaque sous-réseau pour sélectionner les sous-réseaux disposant du plus grand nombre d’adresses IP libres à utiliser lors de la création d’une interface réseau Elastic.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKS_CNI_Policy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSClusterPolicy

Vous pouvez attacher AmazonEKSClusterPolicy à vos entités IAM. Avant de créer un cluster, vous devez disposer d'un rôle IAM de cluster avec la politique ci-jointe. Les clusters Kubernetes gérés par Amazon EKS passent des appels vers d'autres services AWS en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • autoscaling  : lit et met à jour la configuration d’un groupe Auto Scaling. Ces autorisations ne sont pas utilisées par Amazon EKS, mais restent dans la politique pour des raisons de compatibilité ascendante.

  • ec2  : utilisez les volumes et les ressources réseau associés aux nœuds Amazon EC2. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse joindre des instances à un cluster et approvisionner et gérer dynamiquement les volumes Amazon EBS demandés par des volumes persistants Kubernetes.

  • ec2  : supprimer les interfaces réseau Elastic créées par le CNI VPC. Cette opération est nécessaire pour permettre à EKS de nettoyer les interfaces réseau Elastic qui restent si le VPC CNI se ferme de manière inattendue.

  • elasticloadbalancing  : utilisez les équilibreurs de charge Elastic et y ajouter des nœuds en tant que cibles. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse allouer de manière dynamique les Elastic Load Balancer demandés par les services Kubernetes.

  • iam  : créez un rôle lié à un service. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse allouer de manière dynamique les Elastic Load Balancer demandés par les services Kubernetes.

  • kms  : lisez une clé à partir d’AWS KMS. Cette condition est nécessaire pour que le plan de contrôle de Kubernetes prenne en charge le chiffrement des secrets Kubernetes stockés dans etcd.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSClusterPolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSDashboardConsoleReadOnly

Vous pouvez attacher AmazonEKSDashboardConsoleReadOnly à vos entités IAM.

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • eks  : accès en lecture seule aux données du tableau de bord EKS, aux ressources et aux informations sur les versions du cluster. Cela permet de consulter les métriques liées à EKS et les détails de configuration du cluster.

  • organizations  : accès en lecture seule aux informations AWS Organizations, notamment :

    • Affichage des détails de l’organisation et de l’accès aux services

    • Affichage de la liste des racines organisationnelles, des comptes et des unités organisationnelles

    • Affichage de la structure organisationnelle

Pour voir la dernière version du document de politique JSON, consultez AmazonEKSDashboardConsoleReadOnly dans le guide de référence des politiques gérées par AWS.

AWSPolitique gérée par  : AmazonEKSFargatePodExecutionRolePolicy

Vous pouvez attacher AmazonEKSFargatePodExecutionRolePolicy à vos entités IAM. Avant de pouvoir créer un profil Fargate, vous devez créer un rôle d’exécution de pod Fargate et y associer cette politique. Pour plus d’informations, consultez Étape 2 : créer un rôle d’exécution Fargate Pod et Définissez quels pods utilisent AWS Fargate lors de leur lancement.

Cette politique accorde au rôle les autorisations qui permettent d’accéder aux autres ressources des services AWS nécessaires pour exécuter des pods Amazon EKS sur Fargate.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • ecr  : permet aux pods qui s’exécutent sur Fargate d’extraire les images de conteneur stockées dans Amazon ECR.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSFargatePodExecutionRolePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSForFargateServiceRolePolicy

Vous ne pouvez pas associer AmazonEKSForFargateServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, consultez AWSServiceRoleforAmazonEKSForFargate.

Cette politique accorde les autorisations nécessaires à Amazon EKS pour exécuter des tâches Fargate. La politique n'est utilisée que si vous avez des nœuds Fargate.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.

  • ec2  : créer et supprimer des interfaces réseau Elastic et décrire les interfaces réseau Elastic et les ressources. Ceci est nécessaire pour que le service Amazon EKS Fargate puisse configurer le réseau VPC requis pour les pods Fargate.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSForFargateServiceRolePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSComputePolicy

Vous pouvez attacher AmazonEKSComputePolicy à vos entités IAM. Vous pouvez associer cette politique à votre rôle IAM du cluster afin d’étendre les ressources qu’EKS peut gérer dans votre compte.

Cette politique accorde les autorisations requises pour qu’Amazon EKS puisse créer et gérer des instances EC2 pour le cluster EKS, ainsi que les autorisations IAM nécessaires pour configurer EC2. De plus, cette politique accorde à Amazon EKS les autorisations nécessaires pour créer le rôle lié à un service EC2 Spot en votre nom.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • Autorisations ec2 :

    • ec2:CreateFleet et ec2:RunInstances : permet de créer des instances EC2 et d’utiliser des ressources EC2 spécifiques (images, groupes de sécurité, sous-réseaux) pour les nœuds du cluster EKS.

    • ec2:CreateLaunchTemplate : permet de créer des modèles de lancement EC2 pour les nœuds du cluster EKS.

    • La politique comprend également des conditions visant à restreindre l’utilisation de ces autorisations EC2 aux ressources balisées avec le nom du cluster EKS et d’autres balises pertinentes.

    • ec2:CreateTags : permet de baliser les ressources EC2 créées par les actions CreateFleet, RunInstances et CreateLaunchTemplate.

  • Autorisations iam :

    • iam:AddRoleToInstanceProfile : permet d’ajouter un rôle IAM au profil d’instance de calcul EKS.

    • iam:PassRole : permet de transmettre les rôles IAM nécessaires au service EC2.

Pour voir la dernière version du document de politique JSON, consultez AmazonEKSComputePolicy dans le guide de référence des politiques gérées par AWS.

Politique gérée par AWS : AmazonEKSNetworkingPolicy

Vous pouvez attacher AmazonEKSNetworkingPolicy à vos entités IAM. Vous pouvez associer cette politique à votre rôle IAM du cluster afin d’étendre les ressources qu’EKS peut gérer dans votre compte.

Cette politique est conçue pour accorder les autorisations nécessaires à Amazon EKS afin de créer et de gérer les interfaces réseau pour le cluster EKS, permettant ainsi au plan de contrôle et aux composants master de communiquer et de fonctionner correctement.

Détails de l’autorisation

Cette politique accorde les autorisations suivantes pour permettre à Amazon EKS de gérer les interfaces réseau pour le cluster :

  • Autorisations d’interface réseau ec2 :

    • ec2:CreateNetworkInterface : permet de créer des interfaces réseau EC2.

    • La politique inclut des conditions visant à restreindre l’utilisation de cette autorisation aux interfaces réseau balisées avec le nom du cluster EKS et le nom du nœud CNI Kubernetes.

    • ec2:CreateTags : permet d’ajouter des balises aux interfaces réseau créées par l’action CreateNetworkInterface.

  • Autorisations de gestion de l’interface réseau ec2 :

    • ec2:AttachNetworkInterface, ec2:DetachNetworkInterface : permet de connecter et de déconnecter des interfaces réseau à des instances EC2.

    • ec2:UnassignPrivateIpAddresses, ec2:UnassignIpv6Addresses, ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses : permet de gérer les attributions d’adresses IP des interfaces réseau.

    • Ces autorisations sont limitées aux interfaces réseau balisées avec le nom du cluster Amazon EKS.

Pour consulter la dernière version du document de politique JSON, consultez AmazonEKSNetworkingPolicy dans le Guide de référence des politiques gérées par AWS.

Politique gérée par AWS : AmazonEKSBlockStoragePolicy

Vous pouvez attacher AmazonEKSBlockStoragePolicy à vos entités IAM. Vous pouvez associer cette politique à votre rôle IAM du cluster afin d’étendre les ressources qu’EKS peut gérer dans votre compte.

Cette politique accorde les autorisations nécessaires à Amazon EKS pour créer, gérer et maintenir des volumes EC2 et des instantanés pour le cluster Amazon EKS, permettant ainsi au plan de contrôle et aux composants master de provisionner et d’utiliser le stockage persistant selon les besoins des charges de travail Kubernetes.

Détails de l’autorisation

Cette politique IAM accorde les autorisations suivantes pour permettre à Amazon EKS de gérer les volumes et les instantanés EC2 :

  • Autorisations de gestion des volumes ec2  :

    • ec2:AttachVolume, ec2:DetachVolume, ec2:ModifyVolume, ec2:EnableFastSnapshotRestores : permet de connecter, déconnecter, modifier et activer la restauration rapide des instantanés pour les volumes EC2.

    • Ces autorisations sont limitées aux volumes balisés avec le nom du cluster EKS.

    • ec2:CreateTags : permet d’ajouter des balises aux volumes EC2 et aux instantanés créés par les actions CreateVolume et CreateSnapshot.

  • Autorisations de création de volume ec2 :

    • ec2:CreateVolume : permet de créer de nouveaux volumes EC2.

    • La politique comprend des conditions qui limitent l’utilisation de cette autorisation aux volumes balisés avec le nom du cluster EKS et d’autres balises pertinentes.

    • ec2:CreateSnapshot : permet de créer de nouveaux instantanés de volume EC2.

    • La politique comprend des conditions qui limitent l’utilisation de cette autorisation aux instantanés balisés avec le nom du cluster EKS et d’autres balises pertinentes.

Pour consulter la dernière version du document de politique JSON, consultez AmazonEKSBlockStoragePolicy dans le guide de référence des politiques gérées par AWS.

Politique gérée par AWS : AmazonEKSLoadBalancingPolicy

Vous pouvez attacher AmazonEKSLoadBalancingPolicy à vos entités IAM. Vous pouvez associer cette politique à votre rôle IAM du cluster afin d’étendre les ressources qu’EKS peut gérer dans votre compte.

Cette politique IAM accorde les autorisations nécessaires à Amazon EKS pour fonctionner avec divers services AWS afin de gérer les Elastic Load Balancers (ELBs) et les ressources associées.

Détails de l’autorisation

Les principales autorisations accordées par cette politique sont les suivantes :

  • elasticloadbalancing  : permet de créer, modifier et gérer des Elastic Load Balancers et des groupes cibles. Cela inclut les autorisations de créer, mettre à jour et supprimer des équilibreurs de charge, des groupes cibles, des écouteurs et des règles.

  • ec2  : permet de créer et de gérer des groupes de sécurité, qui sont nécessaires au plan de contrôle Kubernetes pour joindre des instances à un cluster et gérer les volumes Amazon EBS. Permet également de décrire et de répertorier les ressources EC2 telles que les instances, les VPC, les sous-réseaux, les groupes de sécurité et d’autres ressources réseau.

  • iam  : permet de créer un rôle lié à un service pour Elastic Load Balancing, qui est nécessaire au plan de contrôle Kubernetes pour provisionner dynamiquement les ELB.

  • kms  : permet de lire une clé à partir d’AWS KMS, qui est nécessaire au plan de contrôle Kubernetes pour prendre en charge le chiffrement des secrets Kubernetes stockés dans etcd.

  • wafv2 et shield  : permet d’associer et de dissocier des listes de contrôle d’accès Web et de créer/supprimer des protections AWS Shield pour les Elastic Load Balancers.

  • cognito-idp , acm et elasticloadbalancing  : accorde les autorisations nécessaires pour décrire les clients du groupe d’utilisateurs, répertorier et décrire les certificats, et décrire les groupes cibles, qui sont nécessaires au plan de contrôle Kubernetes pour gérer les Elastic Load Balancers.

La politique comprend également plusieurs vérifications de conditions afin de garantir que les autorisations ont une portée limitée au cluster EKS spécifique géré, à l’aide de la balise eks:eks-cluster-name.

Pour consulter la dernière version du document de politique JSON, consultez AmazonEKSLoadBalancingPolicy dans le guide de référence des politiques gérées par AWS.

Politique gérée par AWS : AmazonEKSServicePolicy

Vous pouvez attacher AmazonEKSServicePolicy à vos entités IAM. Les clusters créés avant le 16 avril 2020 nécessitaient la création d'un rôle IAM et l'ajout de cette politique. Les clusters créés à partir du 16 avril 2020 ne nécessitent pas la création d’un rôle ni l’attribution de cette politique. Lorsque vous créez un cluster à l’aide d’un principal IAM disposant de l’autorisation iam:CreateServiceLinkedRole, le rôle lié à un service AWSServiceRoleforAmazonEKS est automatiquement créé pour vous. Le rôle lié à un service est associé à la politique gérée : AmazonEKSServiceRolePolicy.

Cette politique permet à Amazon EKS de créer et de gérer les ressources nécessaires à l'exploitation des clusters Amazon EKS.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.

  • eks  : mettez à jour la version Kubernetes de votre cluster après avoir lancé une mise à jour. Cette autorisation n’est pas utilisée par Amazon EKS, mais reste dans la politique pour des raisons de compatibilité ascendante.

  • ec2  : utilisez les interfaces réseau Elastic et d’autres ressources et balises réseau. Cela est requis par Amazon EKS pour configurer la mise en réseau qui facilite la communication entre les nœuds et le plan de contrôle Kubernetes. Lisez les informations sur les groupes de sécurité. Mettez à jour les balises sur les groupes de sécurité.

  • route53  : associez un VPC à une zone hébergée. Cela est requis par Amazon EKS pour activer la mise en réseau de points de terminaison privés pour votre serveur d'API de cluster Kubernetes.

  • logs – journalisez les événements. Cela est nécessaire pour qu'Amazon EKS puisse expédier les journaux des plans de contrôle Kubernetes à CloudWatch.

  • iam  : créez un rôle lié à un service. Ceci est nécessaire pour qu'Amazon EKS puisse créer le rôle lié à un service Autorisations du rôle lié à un service pour Amazon EKS en votre nom.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSServicePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSServiceRolePolicy

Vous ne pouvez pas associer AmazonEKSServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, consultez Autorisations du rôle lié à un service pour Amazon EKS. Lorsque vous créez un cluster à l’aide d’un principal IAM disposant de l’autorisation iam:CreateServiceLinkedRole, le rôle lié à un service AWSServiceRoleforAmazonEKS est automatiquement créé pour vous et cette politique y est associée.

Cette politique permet au rôle lié à un service d'appeler les services AWS en votre nom.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.

  • ec2  : créez et décrivez les interfaces réseau Elastic et les instances Amazon EC2, le groupe de sécurité du cluster et le VPC nécessaires à la création d’un cluster. Pour de plus amples informations, consultez Voir les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters. Lisez les informations sur les groupes de sécurité. Mettez à jour les balises sur les groupes de sécurité. Consultez les informations relatives aux réserves de capacité à la demande.

  • Mode automatique ec2 : résiliez les instances EC2 créées par le mode automatique EKS. Pour de plus amples informations, consultez Automatisation de l’infrastructure du cluster avec le mode automatique EKS.

  • iam  : répertoriez toutes les politiques gérées associées à un rôle IAM. Cette condition est nécessaire pour permettre à Amazon EKS de répertorier et valider toutes les politiques et autorisations gérées requises pour créer un cluster.

  • Associer un VPC à une zone hébergée : cela est requis par Amazon EKS pour activer la mise en réseau de points de terminaison privés pour votre serveur d'API de cluster Kubernetes.

  • Événement du journal : cela est nécessaire pour qu'Amazon EKS puisse expédier les journaux des plans de contrôle Kubernetes à CloudWatch.

  • Métrique Put : ceci est nécessaire pour qu’Amazon EKS puisse envoyer les journaux du plan de contrôle Kubernetes à CloudWatch.

  • eks  : gérez les entrées et les politiques d’accès au cluster, ce qui permet un contrôle précis des personnes autorisées à accéder aux ressources EKS et des actions qu’elles peuvent effectuer. Cela inclut l’association de politiques d’accès standard pour les opérations de calcul, de mise en réseau, d’équilibrage de charge et de stockage.

  • elasticloadbalancing  : créez, gérez et supprimez les équilibreurs de charge et leurs composants (écouteurs, groupes cibles, certificats) associés aux clusters EKS. Affichez les attributs et l’état de santé des équilibreurs de charge.

  • events  : créez et gérez des règles EventBridge pour surveiller les événements EC2 et AWS Health liés aux clusters EKS, ce qui permet de répondre automatiquement aux changements d’infrastructure et aux alertes de santé.

  • iam  : gérez les profils d’instance EC2 avec le préfixe « eks », y compris la création, la suppression et l’association de rôles, ce qui est nécessaire pour la gestion des nœuds EKS.

  • pricing & shield  : accédez aux informations tarifaires AWS et à l’état de protection Shield, ce qui permet la gestion des coûts et des fonctionnalités de sécurité avancées pour les ressources EKS.

  • Nettoyage des ressources : supprimez en toute sécurité les ressources balisées EKS, y compris les volumes, les instantanés, les modèles de lancement et les interfaces réseau, lors des opérations de nettoyage des clusters.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSServiceRolePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSVPCResourceController

Vous pouvez associer la politique AmazonEKSVPCResourceController à vos identités IAM. Si vous utilisez des groupes de sécurité pour les pods, vous devez associer cette politique à votre rôle IAM de cluster Amazon EKS pour effectuer des actions en votre nom.

Cette politique accorde les autorisations de rôle de cluster pour gérer les interfaces réseau Elastic et les adresses IP pour les nœuds.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • ec2  : gérez les interfaces réseau Elastic et les adresses IP pour prendre en charge les groupes de sécurité des pods et les nœuds Windows.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSVPCResourceController dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSWorkerNodePolicy

Vous pouvez attacher AmazonEKSWorkerNodePolicy à vos entités IAM. Vous devez attacher cette politique à un rôle IAM de nœud spécifié lorsque vous créez des nœuds Amazon EC2 qui permettent à Amazon EKS d'effectuer des actions en votre nom. Si vous créez un groupe de nœuds à l'aide de eksctl, il crée le rôle IAM de nœud et attache automatiquement cette politique au rôle.

Cette politique accorde aux nœuds Amazon EKS Amazon EC2 les autorisations de connexion aux clusters Amazon EKS.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • ec2  : lisez les informations relatives au volume et au réseau de l’instance. Ceci est nécessaire pour que les nœuds Kubernetes puissent décrire des informations sur les ressources Amazon EC2 requises pour que le nœud puisse rejoindre le cluster Amazon EKS.

  • eks  : décrivez éventuellement le cluster dans le cadre du démarrage du nœud.

  • eks-auth:AssumeRoleForPodIdentity  : autorisez la récupération des informations d’identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSWorkerNodePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSWorkerNodeMinimalPolicy

Vous pouvez associer la politique AmazonEKSWorkerNodeMinimalPolicy à vos entités IAM. Vous pouvez associer cette politique à un rôle IAM de nœud que vous spécifiez lors de la création de nœuds Amazon EC2 qui permettent à Amazon EKS d’effectuer des actions en votre nom.

Cette politique accorde aux nœuds Amazon EKS Amazon EC2 les autorisations de connexion aux clusters Amazon EKS. Cette politique dispose de moins d’autorisations que la politique AmazonEKSWorkerNodePolicy.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • eks-auth:AssumeRoleForPodIdentity : permet la récupération des informations d’identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSWorkerNodePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AWSServiceRoleForAmazonEKSNodegroup

Vous ne pouvez pas associer AWSServiceRoleForAmazonEKSNodegroup à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, consultez Autorisations du rôle lié à un service pour Amazon EKS.

Cette politique accorde au rôle les autorisations AWSServiceRoleForAmazonEKSNodegroup qui lui permettent de créer et de gérer les groupes de nœuds Amazon EC2 dans votre compte.

Détails de l'autorisation

Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :

  • ec2  : permet de travailler avec des groupes de sécurité, des balises, des réserves de capacité et des modèles de lancement. Ceci est nécessaire pour que les groupes de nœuds gérés Amazon EKS puissent activer la configuration de l’accès à distance et décrire les réserves de capacité pouvant être utilisées dans les groupes de nœuds gérés. En outre, les groupes de nœuds gérés par Amazon EKS créent un modèle de lancement en votre nom. Cela permet de configurer le groupe Amazon EC2 Auto Scaling qui prend en charge chaque groupe de nœuds gérés.

  • iam  : permet de créer un rôle lié à un service et de transmettre un rôle. Ceci est requis par les groupes de nœuds gérés Amazon EKS pour gérer les profils d'instance pour le rôle transmis lors de la création d'un groupe de nœuds gérés. Ce profil d'instance est utilisé par les instances Amazon EC2 lancées dans le cadre d'un groupe de nœuds gérés. Amazon EKS doit créer des rôles liés au service pour d'autres services tels que les groupes Amazon EC2 Auto Scaling. Ces autorisations sont utilisées dans la création d'un groupe de nœuds gérés.

  • autoscaling  : permet de travailler avec des groupes Auto Scaling. Ceci est requis par les groupes de nœuds gérés par Amazon EKS pour gérer le groupe Amazon EC2 Auto Scaling qui sauvegarde chaque groupe de nœuds gérés. Elle est également utilisée pour prendre en charge des fonctionnalités telles que l’expulsion de pods lorsque des nœuds sont résiliés ou recyclés pendant les mises à jour des groupes de nœuds.

Pour consulter la dernière version du document sur la politique JSON, consultez AWSServiceRoleForAmazonEKSNodegroup dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSDashboardServiceRolePolicy

Vous ne pouvez pas associer AmazonEKSDashboardServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, consultez Autorisations du rôle lié à un service pour Amazon EKS.

Cette politique accorde au rôle les autorisations AWSServiceRoleForAmazonEKSDashboard qui lui permettent de créer et de gérer les groupes de nœuds Amazon EC2 dans votre compte.

Détails de l'autorisation

Cette politique comprend les autorisations suivantes qui permettent d’accéder à ces tâches :

  • organizations  : permet d’afficher des informations sur la structure et les comptes de vos organisations AWS. Cela inclut les autorisations permettant de répertorier les comptes de votre organisation, d’afficher les unités organisationnelles et les racines, de répertorier les administrateurs délégués, d’afficher les services qui ont accès à votre organisation et de récupérer des informations détaillées sur votre organisation et vos comptes.

Pour consulter la dernière version du document de politique JSON, consultez AmazonEKSDashboardServiceRolePolicy dans le guide de référence des politiques gérées par AWS.

Politique gérée par AWS : AmazonEBSCSIDriverPolicy

La politique AmazonEBSCSIDriverPolicy permet au pilote Amazon EBS Container Storage Interface (CSI) de créer, de modifier, d'attacher, de détacher et de supprimer des volumes en votre nom. Cela inclut la modification des balises sur les volumes existants et l’activation de la restauration rapide des instantanés (FSR) sur les volumes EBS. Elle accorde également au pilote EBS CSI les autorisations nécessaires pour créer, restaurer et supprimer des instantanés, et pour répertorier vos instances, volumes et instantanés.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEBSCSIDriverServiceRolePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEFSCSIDriverPolicy

La politique AmazonEFSCSIDriverPolicy permet à l'interface CSI (Amazon EFS Container Storage Interface) de créer et de supprimer des points d'accès en votre nom. Il autorise également le pilote CSI Amazon EFS à répertorier vos points d'accès, vos systèmes de fichiers, vos cibles de montage et les zones de disponibilité Amazon EC2.

Pour consulter la dernière version du document sur la politique JSON, voir AmazonEFSCSIDriverServiceRolePolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée AWS : AmazonEKSLocalOutpostClusterPolicy

Vous ne pouvez pas attacher cette politique à des entités IAM. Avant de créer un cluster local, vous devez associer cette politique à votre rôle de cluster. Les clusters Kubernetes gérés par Amazon EKS passent des appels vers d'autres services AWS en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.

La politique AmazonEKSLocalOutpostClusterPolicy inclut les autorisations suivantes :

  • ec2 lecture d’actions : permet aux instances du plan de contrôle de décrire les propriétés de la zone de disponibilité, de la table de routage, de l’instance et de l’interface réseau. Autorisations requises pour que les instances Amazon EC2 puissent rejoindre le cluster en tant qu’instances du plan de contrôle.

  • ssm  : permet à Amazon EC2 Systems Manager de se connecter à l’instance du plan de contrôle, qui est utilisée par Amazon EKS pour communiquer et gérer le cluster local dans votre compte.

  • logs  : permet aux instances de journaliser des journaux à Amazon CloudWatch.

  • secretsmanager  : permet aux instances d’obtenir et de supprimer en toute sécurité les données d’amorçage pour les instances du plan de contrôle à partir d’AWS Secrets Manager.

  • ecr  : permet aux pods et aux conteneurs qui s’exécutent sur les instances du plan de contrôle d’extraire les images de conteneurs stockées dans Amazon Elastic Container Registry.

Pour consulter la dernière version du document sur la politique JSON, consultez AmazonEKSLocalOutpostClusterPolicy dans le Guide de référence des politiques gérées par AWS (français non garanti).

Politique gérée par AWS : AmazonEKSLocalOutpostServiceRolePolicy

Vous ne pouvez pas associer cette politique à vos entités IAM. Lorsque vous créez un cluster à l’aide d’un principal IAM disposant de l’autorisation iam:CreateServiceLinkedRole, Amazon EKS crée automatiquement le rôle lié à un service AWSServiceRoleforAmazonEKSLocalOutpost pour vous et y associe cette politique. Cette politique permet au rôle lié à un service d'appeler les services AWS en votre nom pour les clusters locaux.

La politique AmazonEKSLocalOutpostServiceRolePolicy inclut les autorisations suivantes :

  • ec2  : permet à Amazon EKS de fonctionner avec des ressources de sécurité, de réseau et autres afin de lancer et de gérer avec succès les instances du plan de contrôle dans votre compte.

  • ssm, ssmmessages  : permet à Amazon EC2 Systems Manager de se connecter aux instances du plan de contrôle, qui sont utilisées par Amazon EKS pour communiquer et gérer le cluster local de votre compte.

  • iam  : permet à Amazon EKS de gérer le profil d’instance associé aux instances du plan de contrôle.

  • secretsmanager  : permet à Amazon EKS de placer les données de démarrage des instances du plan de contrôle dans AWS Secrets Manager afin qu’elles puissent être référencées en toute sécurité lors du démarrage des instances.

  • outposts  : permet à Amazon EKS d’obtenir des informations Outpost à partir de votre compte afin de lancer avec succès un cluster local dans un Outpost.

Pour consulter la dernière version du document de politique JSON, consultez AmazonEKSLocalOutpostServiceRolePolicy dans le Guide de référence des politiques gérées par AWS.

Mises à jour Amazon EKS pour les politiques gérées par AWS

Affichez des détails sur les mises à jour des politiques gérées par AWS pour Amazon EKS depuis que ce service a commencé à suivre ces modifications.

Pour recevoir des notifications concernant toutes les modifications apportées aux fichiers sources de cette page de documentation spécifique, vous pouvez vous abonner à l’URL suivante à l’aide d’un lecteur RSS :

https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
Modification Description Date

Autorisation ajoutée à Politique gérée par AWS : AmazonEKSServiceRolePolicy

Ce rôle peut associer une nouvelle stratégie d’accès AmazonEKSEventPolicy. Autorisations restreintes pour ec2:DeleteLaunchTemplate etec2:TerminateInstances.

26 août 2025

Autorisation ajoutée à Politique gérée par AWS : AmazonEKSLocalOutpostServiceRolePolicy

Autorisation ssmmessages:OpenDataChannel ajoutée à AmazonEKSLocalOutpostServiceRolePolicy.

26 juin 2025

Autorisation ajoutée à Politique gérée par AWS : AmazonEKSComputePolicy.

Mise à jour des autorisations de ressources pour les actions ec2:RunInstances et ec2:CreateFleet afin d’inclure les réserves de capacité arn:aws:ec2:*:*:capacity-reservation/*. Cela permet au mode automatique Amazon EKS de lancer des instances à l’aide des réserves de capacité à la demande EC2 de votre compte. Ajout de iam:CreateServiceLinkedRole pour permettre au mode automatique Amazon EKS de créer le rôle lié à un service EC2 Spot AWSServiceRoleForEC2Spot en votre nom.

20 juin 2025

Ajout d’une autorisation à AmazonEKSServiceRolePolicy.

Ajout de l’autorisation ec2:DescribeCapacityReservations pour permettre au mode automatique Amazon EKS de lancer des instances à l’aide des réserves de capacité à la demande EC2 de votre compte.

20 juin 2025

Introduction de Politique gérée par AWS : AmazonEKSDashboardConsoleReadOnly.

Introduction de la nouvelle politique AmazonEKSDashboardConsoleReadOnly.

19 juin 2025

Introduction de Politique gérée par AWS : AmazonEKSDashboardServiceRolePolicy.

Introduction de la nouvelle politique AmazonEKSDashboardServiceRolePolicy.

21 mai 2025

Ajout d'autorisations à AmazonEKSClusterPolicy.

Ajout de l’autorisation ec2:DeleteNetworkInterfaces pour permettre à Amazon EKS de supprimer les interfaces réseau Elastic qui sont laissées de côté si le VPC CNI se ferme de manière inattendue.

16 avril 2025

Ajout d’une autorisation à AmazonEKSServiceRolePolicy.

Ajout des autorisations ec2:RevokeSecurityGroupEgress et ec2:AuthorizeSecurityGroupEgress pour permettre aux clients IA/ML EKS d’ajouter des règles de sortie de groupe de sécurité au groupe de sécurité EKS Cluster SG par défaut qui sont compatibles avec EFA, dans le cadre de la version EKS 1.33 publiée.

14 avril 2025

Ajout d’autorisations à AmazonEKSServiceRolePolicy.

Ajout d’une autorisation pour résilier les instances EC2 créées par le mode automatique EKS.

28 février 2025

Ajout d’autorisations à AmazonEBSCSIDriverPolicy.

Ajout d’une nouvelle déclaration autorisant le pilote CSI EBS à restaurer tous les instantanés. Cela était déjà autorisé par la politique existante, mais une nouvelle déclaration explicite est nécessaire en raison d’un changement dans la gestion de l’IAM pour CreateVolume.

Ajout de la possibilité pour le pilote CSI EBS de modifier les balises sur les volumes existants. Le pilote CSI EBS peut baliser les volumes existants via des paramètres dans Kubernetes VolumeAttributesClasses.

Ajout de la possibilité pour le pilote CSI EBS d’activer la restauration rapide des instantanés (FSR) sur les volumes EBS. Le pilote CSI EBS peut activer la FSR sur les nouveaux volumes via des paramètres dans les classes de stockage Kubernetes.

13 janvier 2025

Ajout d’autorisations à Politique gérée par AWS : AmazonEKSLoadBalancingPolicy.

Mise à jour d’AmazonEKSLoadBalancingPolicy pour permettre la liste et la description des ressources réseau et des adresses IP.

26 décembre 2024

Ajout d’autorisations à Politique gérée par AWS : AWSServiceRoleForAmazonEKSNodegroup.

AWSServiceRoleForAmazonEKSNodegroup mis à jour pour être compatible avec les régions chinoises.

22 novembre 2024

Ajout d’autorisations à Politique gérée AWS : AmazonEKSLocalOutpostClusterPolicy

Ajout de l’autorisation ec2:DescribeAvailabilityZones à AmazonEKSLocalOutpostClusterPolicy afin que le gestionnaire de contrôleur cloud AWS sur le plan de contrôle du cluster puisse identifier la zone de disponibilité dans laquelle se trouve chaque nœud.

21 novembre 2024

Ajout d’autorisations à Politique gérée par AWS : AWSServiceRoleForAmazonEKSNodegroup.

Politique AWSServiceRoleForAmazonEKSNodegroup mise à jour pour autoriser ec2:RebootInstances sur les instances créées par des groupes de nœuds gérés par Amazon EKS. Restriction des autorisations ec2:CreateTags pour les ressources Amazon EC2.

20 novembre 2024

Ajout d’autorisations à Politique gérée par AWS : AmazonEKSServiceRolePolicy.

EKS a mis à jour la politique gérée par AWS AmazonEKSServiceRolePolicy. Ajout d’autorisations pour les stratégies d’accès EKS, la gestion des équilibreurs de charge et le nettoyage automatisé des ressources du cluster.

16 novembre 2024

Introduction de Politique gérée par AWS : AmazonEKSComputePolicy.

EKS a mis à jour la politique gérée par AWS AmazonEKSComputePolicy. Autorisations de ressources mises à jour pour l’action iam:AddRoleToInstanceProfile.

7 novembre 2024

Introduction de Politique gérée par AWS : AmazonEKSComputePolicy.

AWS a présenté la politique AmazonEKSComputePolicy.

1er novembre 2024

Ajout d’autorisations à AmazonEKSClusterPolicy

Ajout d’une autorisation ec2:DescribeInstanceTopology permettant à Amazon EKS d’associer des informations de topologie au nœud sous forme d’étiquettes.

1er novembre 2024

Introduction de Politique gérée par AWS : AmazonEKSBlockStoragePolicy.

AWS a présenté la politique AmazonEKSBlockStoragePolicy.

30 octobre 2024

Introduction de Politique gérée par AWS : AmazonEKSLoadBalancingPolicy.

AWS a présenté la politique AmazonEKSLoadBalancingPolicy.

30 octobre 2024

Ajout d’autorisations à AmazonEKSServiceRolePolicy.

Ajout des autorisations cloudwatch:PutMetricData pour permettre à Amazon EKS de publier des métriques sur Amazon CloudWatch.

29 octobre 2024

Introduction de Politique gérée par AWS : AmazonEKSNetworkingPolicy.

AWS a présenté la politique AmazonEKSNetworkingPolicy.

28 octobre 2024

Ajout d’autorisations à AmazonEKSServicePolicy et AmazonEKSServiceRolePolicy

Ajout de ec2:GetSecurityGroupsForVpc et association d’autorisations de balises pour permettre à EKS de lire les informations relatives aux groupes de sécurité et de mettre à jour les balises associées.

10 octobre 2024

Introduction de AmazonEKSWorkerNodeMinimalPolicy.

AWS a présenté la politique AmazonEKSWorkerNodeMinimalPolicy.

3 octobre 2024

Ajout d'autorisations à AWSServiceRoleForAmazonEKSNodegroup.

Ajout des autorisations autoscaling:ResumeProcesses et autoscaling:SuspendProcesses pour permettre à Amazon EKS de suspendre et de reprendre AZRebalance dans les groupes Auto Scaling gérés par Amazon EKS.

21 août 2024

Ajout d'autorisations à AWSServiceRoleForAmazonEKSNodegroup.

Ajout de l’autorisation ec2:DescribeCapacityReservations pour permettre à Amazon EKS de décrire la réserve de capacité dans le compte de l’utilisateur. Ajout de l’autorisation autoscaling:PutScheduledUpdateGroupAction pour permettre la configuration d’une mise à l’échelle planifiée sur les groupes de nœuds CAPACITY_BLOCK.

27 juin 2024

AmazonEKS_CNI_Policy : mise à jour d’une politique existante

Amazon EKS a ajouté de nouvelles autorisations ec2:DescribeSubnets pour permettre au plug-in CNI Amazon VPC pour Kubernetes de voir le nombre d’adresses IP libres dans vos sous-réseaux Amazon VPC. Le CNI VPC peut utiliser les adresses IP libres dans chaque sous-réseau pour sélectionner les sous-réseaux disposant du plus grand nombre d’adresses IP libres à utiliser lors de la création d’une interface réseau Elastic.

4 mars 2024

AmazonEKSWorkerNodePolicy : mise à jour d’une politique existante

Amazon EKS a ajouté de nouvelles autorisations pour permettre les identités du pod EKS. L’agent d’identité du pod Amazon EKS utilise le rôle de nœud.

26 novembre 2023

Présentation de la politique AmazonEFSCSIDriverPolicy.

AWS a présenté la politique AmazonEFSCSIDriverPolicy.

26 juillet 2023

Ajout d'autorisations à AmazonEKSClusterPolicy.

Ajout d'une autorisation ec2:DescribeAvailabilityZones permettant à Amazon EKS d'obtenir les détails des zones de disponibilité lors de la découverte automatique des sous-réseaux lors de la création d'équilibreurs de charge.

7 février 2023

Conditions de stratégie mises à jour dans Amazon EBSCSIDriverPolicy.

Conditions de stratégie non valides supprimées comportant des caractères génériques dans le champ clé StringLike. Nouvelle condition ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" ajoutée à ec2:DeleteVolume, permettant au pilote EBS CSI de supprimer les volumes créés par le plug-in intégré à l'arborescence.

17 novembre 2022

Ajout d'autorisations à la politique AmazonEKSLocalOutpostServiceRolePolicy.

Ajout de ec2:DescribeVPCAttribute, ec2:GetConsoleOutput et ec2:DescribeSecret pour permettre une meilleure validation des prérequis et un meilleur contrôle du cycle de vie géré. Également, ajout de ec2:DescribePlacementGroups et "arn:aws:ec2:*:*:placement-group/*" à ec2:RunInstances pour permettre le contrôle du placement des instances Amazon EC2 du plan de contrôle sur les Outposts.

24 octobre 2022

Mise à jour des autorisations d'Amazon Elastic Container Registry dans AmazonEKSLocalOutpostClusterPolicy.

Déplacement de l'action ecr:GetDownloadUrlForLayer de toutes les sections de ressources vers une section délimitée. Ajout de la ressource arn:aws:ecr:*:*:repository/eks/ . Suppression de la ressource arn:aws:ecr:. Cette ressource est couverte par la ressource arn:aws:ecr:*:*:repository/eks/* ajoutée.

20 octobre 2022

Ajout d'autorisations à la politique AmazonEKSLocalOutpostClusterPolicy.

Ajout du référentiel Amazon Elastic Container Registry arn:aws:ecr:*:*:repository/kubelet-config-updater pour que les instances du plan de contrôle du cluster puissent mettre à jour des arguments kubelet.

31 août 2022

Présentation de la politique AmazonEKSLocalOutpostClusterPolicy.

AWS a présenté la politique AmazonEKSLocalOutpostClusterPolicy.

24 août 2022

Présentation de la politique AmazonEKSLocalOutpostServiceRolePolicy.

AWS a présenté la politique AmazonEKSLocalOutpostServiceRolePolicy.

23 août 2022

Présentation de la politique AmazonEBSCSIDriverPolicy.

AWS a présenté la politique AmazonEBSCSIDriverPolicy.

4 avril 2022

Ajout d'autorisations à AmazonEKSWorkerNodePolicy.

Ajout de ec2:DescribeInstanceTypes pour activer les AMI optimisées pour Amazon EKS qui peuvent détecter automatiquement les propriétés au niveau de l'instance.

21 mars 2022

Ajout d'autorisations à AWSServiceRoleForAmazonEKSNodegroup.

Ajout d'autorisations autoscaling:EnableMetricsCollection permettant à Amazon EKS d'activer la collecte de métriques.

13 décembre 2021

Ajout d'autorisations à AmazonEKSClusterPolicy.

Ajout de ec2:DescribeAccountAttributes, ec2:DescribeAddresses et ec2:DescribeInternetGateways pour autoriser Amazon EKS à créer un rôle lié à un service pour un Network Load Balancer.

17 juin 2021

Amazon EKS a commencé à assurer le suivi des modifications.

Amazon EKS a commencé à assurer le suivi des modifications apportées à ses politiques gérées par AWS.

17 juin 2021