Aidez à améliorer cette page
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour contribuer à ce guide de l'utilisateur, cliquez sur le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS politiques gérées pour Amazon Elastic Kubernetes Service
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'un nouveau AWS service est lancé ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.
AWS politique gérée : Amazoneks_CNI_Policy
Vous pouvez attacher AmazonEKS_CNI_Policy à vos entités IAM. Avant de créer un groupe de EC2 nœuds Amazon, cette politique doit être attachée au rôle IAM du nœud ou à un rôle IAM spécifiquement utilisé par le plugin Amazon VPC CNI pour Kubernetes. Ceci lui permet d'effectuer des actions en votre nom. Nous vous recommandons d'associer la politique à un rôle utilisé uniquement par le plugin. Pour plus d’informations, consultez Attribuer IPs à des pods avec l'Amazon VPC CNI et Configurer le plug-in Amazon VPC CNI pour utiliser IRSA.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2:*NetworkInterfaceetec2:*PrivateIpAddresses— Permet au plugin Amazon VPC CNI d'effectuer des actions telles que le provisionnement d'interfaces réseau élastiques et d'adresses IP pour les pods afin de fournir un réseau aux applications exécutées dans Amazon EKS. -
ec2actions de lecture — Permet au plugin Amazon VPC CNI d'effectuer des actions telles que décrire des instances et des sous-réseaux pour voir le nombre d'adresses IP gratuites dans vos sous-réseaux Amazon VPC. Le VPC CNI peut utiliser les adresses IP libres de chaque sous-réseau pour sélectionner les sous-réseaux avec le plus grand nombre d'adresses IP libres à utiliser lors de la création d'une interface elastic network.
Pour consulter la dernière version du document de politique JSON, consultez Amazoneks_CNI_Policy dans le Managed Policy Reference Guide. AWS
AWS politique gérée : Amazon EKSCluster Policy
Vous pouvez attacher AmazonEKSClusterPolicy à vos entités IAM. Avant de créer un cluster, vous devez disposer d'un rôle IAM de cluster avec la politique ci-jointe. Les clusters Kubernetes gérés par Amazon EKS appellent d'autres AWS services en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
autoscaling— Lisez et mettez à jour la configuration d'un groupe Auto Scaling. Ces autorisations ne sont pas utilisées par Amazon EKS mais restent incluses dans la politique de rétrocompatibilité. -
ec2— Travaillez avec des volumes et des ressources réseau associés aux EC2 nœuds Amazon. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse joindre des instances à un cluster et approvisionner et gérer dynamiquement les volumes Amazon EBS demandés par des volumes persistants Kubernetes. -
ec2- Supprimez les interfaces réseau élastiques créées par le VPC CNI. Cela est nécessaire pour qu'EKS puisse nettoyer les interfaces réseau élastiques qui restent en place en cas de fermeture inattendue du VPC CNI. -
elasticloadbalancing— Travaillez avec des équilibreurs de charge élastiques et ajoutez-y des nœuds comme cibles. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse allouer de manière dynamique les Elastic Load Balancer demandés par les services Kubernetes. -
iam— Créez un rôle lié à un service. Ceci est nécessaire pour que le plan de contrôle Kubernetes puisse allouer de manière dynamique les Elastic Load Balancer demandés par les services Kubernetes. -
kms— Lit une clé depuis AWS KMS. Cette condition est nécessaire pour que le plan de contrôle de Kubernetes prenne en charge le chiffrement des secretsKubernetes stockés dans etcd.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSCluster Policy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSDashboard ConsoleReadOnly
Vous pouvez attacher AmazonEKSDashboardConsoleReadOnly à vos entités IAM.
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
eks- Accès en lecture seule aux données du tableau de bord EKS, aux ressources et aux informations sur les versions du cluster. Cela permet de consulter les métriques liées à EKS et les détails de configuration du cluster. -
organizations- Accès en lecture seule aux informations des AWS Organizations, notamment :-
Afficher les détails de l'organisation et l'accès aux services
-
Répertorier les racines, les comptes et les unités organisationnelles
-
Afficher la structure de l'organisation
-
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSDashboard ConsoleReadOnly dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSFargate PodExecutionRolePolicy
Vous pouvez attacher AmazonEKSFargatePodExecutionRolePolicy à vos entités IAM. Avant de créer un profil Fargate, vous devez créer un rôle d'exécution Fargate Pod et y associer cette politique. Pour plus d’informations, consultez Étape 2 : Création d'un rôle d'exécution Fargate Pod et Définissez quels pods utilisent AWS Fargate lors de leur lancement.
Cette politique accorde au rôle les autorisations lui permettant d'accéder aux autres ressources de AWS service requises pour exécuter les pods Amazon EKS sur Fargate.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ecr— Permet aux pods exécutés sur Fargate d'extraire des images de conteneurs stockées dans Amazon ECR.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSFargate PodExecutionRolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSFor FargateServiceRolePolicy
Vous ne pouvez pas vous associer AmazonEKSForFargateServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter AWSServiceRoleforAmazonEKSForFargate.
Cette politique accorde les autorisations nécessaires à Amazon EKS pour exécuter des tâches Fargate. La politique n'est utilisée que si vous avez des nœuds Fargate.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.
-
ec2— Créez et supprimez des interfaces réseau élastiques et décrivez les interfaces réseau élastiques et leurs ressources. Cela est nécessaire pour que le service Amazon EKS Fargate puisse configurer le réseau VPC requis pour les Fargate Pods.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSFor FargateServiceRolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSCompute Policy
Vous pouvez attacher AmazonEKSComputePolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.
Cette politique accorde les autorisations requises à Amazon EKS pour créer et gérer des EC2 instances pour le cluster EKS, ainsi que les autorisations IAM nécessaires à la configuration EC2. Cette politique autorise également Amazon EKS à créer le rôle lié au service EC2 Spot en votre nom.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2Autorisations :-
ec2:CreateFleetetec2:RunInstances- Permet de créer des EC2 instances et d'utiliser des EC2 ressources spécifiques (images, groupes de sécurité, sous-réseaux) pour les nœuds du cluster EKS. -
ec2:CreateLaunchTemplate- Permet de créer des modèles de EC2 lancement pour les nœuds du cluster EKS. -
La politique inclut également des conditions visant à restreindre l'utilisation de ces EC2 autorisations aux ressources étiquetées avec le nom du cluster EKS et d'autres balises pertinentes.
-
ec2:CreateTags- Permet d'ajouter des balises aux EC2 ressources créées par lesCreateLaunchTemplateactionsCreateFleetRunInstances, et.
-
-
iamAutorisations :-
iam:AddRoleToInstanceProfile- Permet d'ajouter un rôle IAM au profil d'instance de calcul EKS. -
iam:PassRole- Permet de transmettre les rôles IAM nécessaires au EC2 service.
-
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSCompute Policy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSNetworking Policy
Vous pouvez attacher AmazonEKSNetworkingPolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.
Cette politique est conçue pour accorder les autorisations nécessaires à Amazon EKS pour créer et gérer des interfaces réseau pour le cluster EKS, permettant au plan de contrôle et aux nœuds de travail de communiquer et de fonctionner correctement.
Détails de l’autorisation
Cette politique accorde les autorisations suivantes pour permettre à Amazon EKS de gérer les interfaces réseau du cluster :
-
ec2Autorisations d'interface réseau :-
ec2:CreateNetworkInterface- Permet de créer des interfaces EC2 réseau. -
La politique inclut des conditions visant à restreindre l'utilisation de cette autorisation aux interfaces réseau étiquetées avec le nom du cluster EKS et le nom du nœud Kubernetes CNI.
-
ec2:CreateTags- Permet d'ajouter des balises aux interfaces réseau créées par l'CreateNetworkInterfaceaction.
-
-
ec2Autorisations de gestion de l'interface réseau :-
ec2:AttachNetworkInterface,ec2:DetachNetworkInterface- Permet d'attacher et de détacher des interfaces réseau aux EC2 instances. -
ec2:UnassignPrivateIpAddresses,ec2:UnassignIpv6Addresses,ec2:AssignPrivateIpAddresses,ec2:AssignIpv6Addresses- Permet de gérer les assignations d'adresses IP des interfaces réseau. -
Ces autorisations sont limitées aux interfaces réseau étiquetées avec le nom du cluster EKS.
-
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSNetworking Policy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSBlock StoragePolicy
Vous pouvez attacher AmazonEKSBlockStoragePolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.
Cette politique accorde les autorisations nécessaires à Amazon EKS pour créer, gérer et gérer des EC2 volumes et des instantanés pour le cluster EKS, permettant ainsi au plan de contrôle et aux nœuds de travail de provisionner et d'utiliser un stockage persistant conformément aux charges de travail Kubernetes.
Détails de l’autorisation
Cette politique IAM accorde les autorisations suivantes pour permettre à Amazon EKS de gérer les EC2 volumes et les instantanés :
-
ec2Autorisations de gestion des volumes :-
ec2:AttachVolume,,ec2:DetachVolumeec2:ModifyVolume,ec2:EnableFastSnapshotRestores- Permet de joindre, de détacher, de modifier et d'activer des restaurations instantanées rapides pour les EC2 volumes. -
Ces autorisations sont limitées aux volumes marqués avec le nom du cluster EKS.
-
ec2:CreateTags- Permet d'ajouter des balises aux EC2 volumes et aux instantanés créés par lesCreateSnapshotactionsCreateVolumeet.
-
-
ec2Autorisations de création de volumes :-
ec2:CreateVolume- Permet de créer de nouveaux EC2 volumes. -
La politique inclut des conditions visant à restreindre l'utilisation de cette autorisation aux volumes marqués avec le nom du cluster EKS et d'autres balises pertinentes.
-
ec2:CreateSnapshot- Permet de créer de nouveaux instantanés de EC2 volumes. -
La politique inclut des conditions visant à restreindre l'utilisation de cette autorisation aux instantanés marqués avec le nom du cluster EKS et d'autres balises pertinentes.
-
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSBlock StoragePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSLoad BalancingPolicy
Vous pouvez attacher AmazonEKSLoadBalancingPolicy à vos entités IAM. Vous pouvez associer cette politique au rôle IAM de votre cluster afin d'étendre les ressources qu'EKS peut gérer dans votre compte.
Cette politique IAM accorde les autorisations nécessaires à Amazon EKS pour travailler avec différents AWS services afin de gérer les Elastic Load Balancers (ELBs) et les ressources associées.
Détails de l’autorisation
Les principales autorisations accordées par cette politique sont les suivantes :
-
elasticloadbalancing: Permet de créer, de modifier et de gérer des équilibreurs de charge élastiques et des groupes cibles. Cela inclut les autorisations permettant de créer, de mettre à jour et de supprimer des équilibreurs de charge, des groupes cibles, des écouteurs et des règles. -
ec2: Permet de créer et de gérer des groupes de sécurité, nécessaires au plan de contrôle Kubernetes pour joindre des instances à un cluster et gérer les volumes Amazon EBS. Permet également de décrire et de répertorier EC2 des ressources telles que des instances VPCs, des sous-réseaux, des groupes de sécurité et d'autres ressources réseau. -
iam: Permet de créer un rôle lié à un service pour Elastic Load Balancing, qui est nécessaire au provisionnement dynamique du plan de contrôle Kubernetes. ELBs -
kms: Permet de lire une clé depuis AWS KMS, qui est requise pour que le plan de contrôle Kubernetes prenne en charge le chiffrement des secrets Kubernetes stockés dans etcd. -
wafv2etshield: Permet d'associer et de dissocier le Web ACLs et de créer/supprimer des protections AWS Shield pour les Elastic Load Balancers. -
cognito-idp,acm, etelasticloadbalancing: accorde des autorisations pour décrire les clients du pool d'utilisateurs, répertorier et décrire les certificats, et décrire les groupes cibles, qui sont nécessaires au plan de contrôle Kubernetes pour gérer les Elastic Load Balancers.
La politique inclut également plusieurs vérifications de condition pour garantir que les autorisations sont limitées au cluster EKS spécifique géré, à l'aide de la eks:eks-cluster-name balise.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSLoad BalancingPolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSService Policy
Vous pouvez attacher AmazonEKSServicePolicy à vos entités IAM. Les clusters créés avant le 16 avril 2020 nécessitaient la création d'un rôle IAM et l'ajout de cette politique. Les clusters créés le 16 avril 2020 ou après cette date ne vous obligent pas à créer un rôle ni à attribuer cette politique. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, le rôle lié au service AWSServiceRoleforAmazonEKS est automatiquement créé pour vous. Le rôle lié à un service est EKSService RolePolicy associé à la politique gérée suivante : Amazon.
Cette politique permet à Amazon EKS de créer et de gérer les ressources nécessaires à l'exploitation des clusters Amazon EKS.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.
-
eks— Mettez à jour la version Kubernetes de votre cluster après avoir lancé une mise à jour. Cette autorisation n'est pas utilisée par Amazon EKS mais reste inscrite dans la politique de rétrocompatibilité. -
ec2— Travaillez avec les interfaces réseau élastiques et d'autres ressources et balises réseau. Cela est requis par Amazon EKS pour configurer la mise en réseau qui facilite la communication entre les nœuds et le plan de contrôle Kubernetes. Lisez les informations sur les groupes de sécurité. Mettez à jour les balises des groupes de sécurité. -
route53— Associez un VPC à une zone hébergée. Cela est requis par Amazon EKS pour activer la mise en réseau de points de terminaison privés pour votre serveur d'API de cluster Kubernetes. -
logs— Enregistrez les événements. Cela est nécessaire pour qu'Amazon EKS puisse envoyer les journaux du plan de contrôle Kubernetes à. CloudWatch -
iam— Créez un rôle lié à un service. Ceci est nécessaire pour qu'Amazon EKS puisse créer le rôle lié à un service Autorisations du rôle lié à un service pour Amazon EKS en votre nom.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSService Policy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSService RolePolicy
Vous ne pouvez pas vous associer AmazonEKSServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations du rôle lié à un service pour Amazon EKS. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, le rôle lié au service AWSServiceRoleforAmazonEKS est automatiquement créé pour vous et cette politique y est associée.
Cette politique permet au rôle lié au service d'appeler les AWS services en votre nom.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes.
-
ec2— Créez et décrivez les interfaces réseau Elastic et EC2 les instances Amazon, le groupe de sécurité du cluster et le VPC nécessaires à la création d'un cluster. Pour de plus amples informations, veuillez consulter Afficher les exigences relatives aux groupes de sécurité Amazon EKS pour les clusters. Lisez les informations sur les groupes de sécurité. Mettez à jour les balises des groupes de sécurité. Lisez les informations sur les réservations de capacité à la demande. -
ec2Mode automatique : mettez fin aux EC2 instances créées par le mode automatique EKS. Pour de plus amples informations, veuillez consulter Automatisez l'infrastructure de clusters avec le mode automatique EKS. -
iam— Répertorie toutes les politiques gérées associées à un rôle IAM. Cette condition est nécessaire pour permettre à Amazon EKS de répertorier et valider toutes les politiques et autorisations gérées requises pour créer un cluster. -
Associer un VPC à une zone hébergée : cela est requis par Amazon EKS pour activer la mise en réseau de points de terminaison privés pour votre serveur d'API de cluster Kubernetes.
-
Journaliser les événements : cela est nécessaire pour qu'Amazon EKS puisse envoyer les journaux du plan de contrôle Kubernetes à. CloudWatch
-
Put metric : cela est nécessaire pour qu'Amazon EKS puisse envoyer les journaux du plan de contrôle Kubernetes à. CloudWatch
-
eks- Gérez les entrées et les politiques d'accès au cluster, ce qui permet de contrôler avec précision les personnes autorisées à accéder aux ressources EKS et les actions qu'elles peuvent effectuer. Cela inclut l'association de politiques d'accès standard pour les opérations de calcul, de mise en réseau, d'équilibrage de charge et de stockage. -
elasticloadbalancing- Créez, gérez et supprimez les équilibreurs de charge et leurs composants (écouteurs, groupes cibles, certificats) associés aux clusters EKS. Consultez les attributs et l'état de santé de l'équilibreur de charge. -
events- Créez et gérez des EventBridge règles pour la surveillance EC2 et les événements de AWS santé liés aux clusters EKS, permettant des réponses automatisées aux modifications de l'infrastructure et aux alertes de santé. -
iam- Gérez les profils d' EC2 instance avec le préfixe « eks », y compris la création, la suppression et l'association de rôles, nécessaires à la gestion des nœuds EKS. -
pricing&shield- Accédez aux informations AWS tarifaires et à l'état de protection du Shield, permettant de gérer les coûts et de bénéficier de fonctionnalités de sécurité avancées pour les ressources EKS. -
Nettoyage des ressources : supprimez en toute sécurité les ressources étiquetées EKS, notamment les volumes, les instantanés, les modèles de lancement et les interfaces réseau lors des opérations de nettoyage du cluster.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSService RolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSVPCResource Controller
Vous pouvez associer la politique AmazonEKSVPCResourceController à vos identités IAM. Si vous utilisez des groupes de sécurité pour les pods, vous devez associer cette politique au rôle IAM de votre cluster Amazon EKS pour effectuer des actions en votre nom.
Cette politique accorde les autorisations de rôle de cluster pour gérer les interfaces réseau Elastic et les adresses IP pour les nœuds.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2— Gérez les interfaces réseau élastiques et les adresses IP pour prendre en charge les groupes de sécurité Pod et les nœuds Windows.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSVPCResource Controller dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSWorker NodePolicy
Vous pouvez attacher AmazonEKSWorkerNodePolicy à vos entités IAM. Vous devez associer cette politique à un rôle IAM de nœud que vous spécifiez lorsque vous créez des EC2 nœuds Amazon qui permettent à Amazon EKS d'effectuer des actions en votre nom. Si vous créez un groupe de nœuds à l'aide de eksctl, il crée le rôle IAM de nœud et attache automatiquement cette politique au rôle.
Cette politique accorde aux EC2 nœuds Amazon EKS l'autorisation de se connecter aux clusters Amazon EKS.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2— Lisez le volume de l'instance et les informations réseau. Cela est nécessaire pour que les nœuds Kubernetes puissent décrire les informations relatives aux EC2 ressources Amazon requises pour que le nœud rejoigne le cluster Amazon EKS. -
eks— Décrivez éventuellement le cluster dans le cadre de l'amorçage du nœud. -
eks-auth:AssumeRoleForPodIdentity— Autorise la récupération des informations d'identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSWorker NodePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSWorker NodeMinimalPolicy
Vous pouvez associer l'Amazon EKSWorker NodeMinimalPolicy à vos entités IAM. Vous pouvez associer cette politique à un rôle IAM de nœud que vous spécifiez lorsque vous créez des EC2 nœuds Amazon qui permettent à Amazon EKS d'effectuer des actions en votre nom.
Cette politique accorde aux EC2 nœuds Amazon EKS l'autorisation de se connecter aux clusters Amazon EKS. Cette politique comporte moins d'autorisations que celle d'Amazon EKSWorkerNodePolicy.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
eks-auth:AssumeRoleForPodIdentity- Autoriser la récupération des informations d'identification pour les charges de travail EKS sur le nœud. Cela est nécessaire pour que l’identité du pod EKS fonctionne correctement.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSWorker NodePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : AWSService RoleForAmazon EKSNodegroup
Vous ne pouvez pas vous associer AWSServiceRoleForAmazonEKSNodegroup à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations du rôle lié à un service pour Amazon EKS.
Cette politique accorde au AWSServiceRoleForAmazonEKSNodegroup rôle les autorisations qui lui permettent de créer et de gérer des groupes de EC2 nœuds Amazon dans votre compte.
Détails de l'autorisation
Cette politique inclut les autorisations suivantes qui permettent à Amazon EKS d'effectuer les tâches suivantes :
-
ec2— Travaillez avec des groupes de sécurité, des tags, des réservations de capacité et des modèles de lancement. Cela est nécessaire pour les groupes de nœuds gérés par Amazon EKS afin de permettre la configuration de l'accès à distance et de décrire les réservations de capacité qui peuvent être utilisées dans les groupes de nœuds gérés. En outre, les groupes de nœuds gérés par Amazon EKS créent un modèle de lancement en votre nom. Cela permet de configurer le groupe Amazon EC2 Auto Scaling qui soutient chaque groupe de nœuds gérés. -
iam— Créez un rôle lié à un service et transmettez-le. Ceci est requis par les groupes de nœuds gérés Amazon EKS pour gérer les profils d'instance pour le rôle transmis lors de la création d'un groupe de nœuds gérés. Ce profil d'instance est utilisé par les EC2 instances Amazon lancées dans le cadre d'un groupe de nœuds géré. Amazon EKS doit créer des rôles liés à un service pour d'autres services tels que les groupes Amazon EC2 Auto Scaling. Ces autorisations sont utilisées dans la création d'un groupe de nœuds gérés. -
autoscaling— Travaillez avec des groupes de sécurité Auto Scaling. Cela est requis par les groupes de nœuds gérés par Amazon EKS pour gérer le groupe Amazon EC2 Auto Scaling qui soutient chaque groupe de nœuds gérés. Il est également utilisé pour prendre en charge des fonctionnalités telles que l'expulsion des pods lorsque les nœuds sont résiliés ou recyclés lors des mises à jour des groupes de nœuds.
Pour consulter la dernière version du document de politique JSON, consultez AWSServiceRoleForAmazonEKSNodegrouple Guide de référence des politiques AWS gérées.
AWS politique gérée : Amazon EKSDashboard ServiceRolePolicy
Vous ne pouvez pas vous associer AmazonEKSDashboardServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à Amazon EKS d'effectuer des actions en votre nom. Pour de plus amples informations, veuillez consulter Autorisations du rôle lié à un service pour Amazon EKS.
Cette politique accorde au AWSServiceRoleForAmazonEKSDashboard rôle les autorisations qui lui permettent de créer et de gérer des groupes de EC2 nœuds Amazon dans votre compte.
Détails de l’autorisation
Cette politique inclut les autorisations suivantes qui autorisent l'accès pour effectuer ces tâches :
-
organizations— Consultez les informations relatives à la structure et aux comptes de vos AWS Organisations. Cela inclut les autorisations permettant de répertorier les comptes de votre organisation, d'afficher les unités organisationnelles et les racines, de répertorier les administrateurs délégués, de consulter les services ayant accès à votre organisation et de récupérer des informations détaillées sur votre organisation et vos comptes.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSDashboard ServiceRolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EBSCSIDriver Policy
La politique AmazonEBSCSIDriverPolicy permet au pilote Amazon EBS Container Storage Interface (CSI) de créer, de modifier, d'attacher, de détacher et de supprimer des volumes en votre nom. Cela inclut la modification des balises sur les volumes existants et l'activation de la restauration rapide des instantanés (FSR) sur les volumes EBS. Il accorde également au pilote EBS CSI les autorisations nécessaires pour créer, restaurer et supprimer des instantanés, ainsi que pour répertorier vos instances, volumes et instantanés.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EBSCSIDriver ServiceRolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EFSCSIDriver Policy
La politique AmazonEFSCSIDriverPolicy permet à l'interface CSI (Amazon EFS Container Storage Interface) de créer et de supprimer des points d'accès en votre nom. Il accorde également au pilote Amazon EFS CSI l'autorisation de répertorier vos points d'accès, vos systèmes de fichiers, vos cibles de montage et vos zones de EC2 disponibilité Amazon.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EFSCSIDriver ServiceRolePolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSLocal OutpostClusterPolicy
Vous ne pouvez pas attacher cette politique à des entités IAM. Avant de créer un cluster local, vous devez associer cette politique à votre rôle de cluster. Les clusters Kubernetes gérés par Amazon EKS appellent d'autres AWS services en votre nom. Ils le font pour gérer les ressources que vous utilisez avec le service.
La politique AmazonEKSLocalOutpostClusterPolicy inclut les autorisations suivantes :
-
ec2actions de lecture — Permet aux instances du plan de contrôle de décrire les propriétés de la zone de disponibilité, de la table de routage, de l'instance et de l'interface réseau. Autorisations requises pour que les EC2 instances Amazon rejoignent avec succès le cluster en tant qu'instances du plan de contrôle. -
ssm— Permet à Amazon EC2 Systems Manager de se connecter à l'instance du plan de contrôle, qui est utilisée par Amazon EKS pour communiquer et gérer le cluster local de votre compte. -
logs— Permet aux instances de transmettre des journaux à Amazon CloudWatch. -
secretsmanager— Permet aux instances d'obtenir et de supprimer des données de démarrage pour les instances du plan de contrôle en toute sécurité à partir de AWS Secrets Manager. -
ecr— Permet aux pods et aux conteneurs exécutés sur les instances du plan de contrôle d'extraire des images de conteneurs stockées dans Amazon Elastic Container Registry.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSLocal OutpostClusterPolicy dans le AWS Managed Policy Reference Guide.
AWS politique gérée : Amazon EKSLocal OutpostServiceRolePolicy
Vous ne pouvez pas associer cette politique à vos entités IAM. Lorsque vous créez un cluster à l'aide d'un principal IAM iam:CreateServiceLinkedRole autorisé, Amazon EKS crée automatiquement le rôle lié au service AWSServiceRoleforAmazonEKSLocalOutpost pour vous et y associe cette politique. Cette politique permet au rôle lié au service d'appeler des AWS services en votre nom pour les clusters locaux.
La politique AmazonEKSLocalOutpostServiceRolePolicy inclut les autorisations suivantes :
-
ec2— Permet à Amazon EKS de travailler avec des ressources de sécurité, de réseau et autres pour lancer et gérer avec succès les instances du plan de contrôle dans votre compte. -
ssm,ssmmessages— Permet à Amazon EC2 Systems Manager de se connecter aux instances du plan de contrôle, qui sont utilisées par Amazon EKS pour communiquer et gérer le cluster local de votre compte. -
iam— Permet à Amazon EKS de gérer le profil d'instance associé aux instances du plan de contrôle. -
secretsmanager- Permet à Amazon EKS de placer les données de démarrage des instances du plan de contrôle dans AWS Secrets Manager afin qu'elles puissent être référencées de manière sécurisée lors du démarrage des instances. -
outposts— Permet à Amazon EKS d'obtenir les informations d'Outpost depuis votre compte afin de lancer avec succès un cluster local dans un Outpost.
Pour consulter la dernière version du document de politique JSON, consultez Amazon EKSLocal OutpostServiceRolePolicy dans le AWS Managed Policy Reference Guide.
Amazon EKS met à jour les politiques AWS gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon EKS depuis que ce service a commencé à suivre ces modifications.
Pour recevoir des notifications concernant toutes les modifications apportées au fichier source sur cette page de documentation spécifique, vous pouvez vous abonner à l'URL suivante avec un lecteur RSS :
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
| Modification | Description | Date |
|---|---|---|
|
Autorisation ajoutée pour AWS politique gérée : Amazon EKSLocal OutpostServiceRolePolicy |
|
26 juin 2025 |
|
Autorisation ajoutée pourAWS politique gérée : Amazon EKSCompute Policy. |
Autorisations de ressources mises à jour pour les |
20 juin 2025 |
|
Autorisation ajoutée à Amazon EKSService RolePolicy. |
Ajout de |
20 juin 2025 |
|
PrésentéAWS politique gérée : Amazon EKSDashboard ConsoleReadOnly. |
A introduit une nouvelle |
19 juin 2025 |
|
PrésentéAWS politique gérée : Amazon EKSDashboard ServiceRolePolicy. |
A introduit une nouvelle |
21 mai 2025 |
|
Des autorisations ont été ajoutées à Amazon EKSCluster Policy. |
Ajout d'une |
16 avril 2025 |
|
Autorisation ajoutée à Amazon EKSService RolePolicy. |
Ajout |
14 avril 2025 |
|
Des autorisations ont été ajoutées à Amazon EKSService RolePolicy. |
Ajout de l'autorisation de mettre fin aux EC2 instances créées par le mode automatique EKS. |
28 février 2025 |
|
Des autorisations ont été ajoutées à Amazon EBSCSIDriver Policy. |
Ajout d'une nouvelle déclaration autorisant le pilote EBS CSI à restaurer tous les instantanés. Cela était auparavant autorisé par la politique existante, mais une nouvelle déclaration explicite est requise en raison d'une modification de la gestion d'IAM pour Ajout de la possibilité pour le pilote EBS CSI de modifier les balises sur les volumes existants. Le pilote EBS CSI peut modifier les balises des volumes existants via un paramètre dans Kubernetes. VolumeAttributesClasses Ajout de la possibilité pour le pilote EBS CSI d'activer la restauration rapide des instantanés (FSR) sur les volumes EBS. Le pilote EBS CSI peut activer le FSR sur de nouveaux volumes via les paramètres des classes de stockage Kubernetes. |
13 janvier 2025 |
|
Autorisations ajoutées àAWS politique gérée : Amazon EKSLoad BalancingPolicy. |
Mis |
26 décembre 2024 |
|
Autorisations ajoutées àAWS politique gérée : AWSService RoleForAmazon EKSNodegroup. |
Mis à jour |
22 novembre 2024 |
|
Autorisations ajoutées à AWS politique gérée : Amazon EKSLocal OutpostClusterPolicy |
|
21 novembre 2024 |
|
Autorisations ajoutées àAWS politique gérée : AWSService RoleForAmazon EKSNodegroup. |
|
20 novembre 2024 |
|
Autorisations ajoutées àAWS politique gérée : Amazon EKSService RolePolicy. |
Politique AWS gérée mise à jour par EKS |
16 novembre 2024 |
|
Politique AWS gérée mise à jour par EKS |
7 novembre 2024 |
|
|
AWS a présenté le |
1er novembre 2024 |
|
|
Autorisations ajoutées à |
Ajout |
1er novembre 2024 |
|
PrésentéAWS politique gérée : Amazon EKSBlock StoragePolicy. |
AWS a présenté le |
30 octobre 2024 |
|
PrésentéAWS politique gérée : Amazon EKSLoad BalancingPolicy. |
AWS a présenté le |
30 octobre 2024 |
|
Des autorisations ont été ajoutées à Amazon EKSService RolePolicy. |
Des |
29 octobre 2024 |
|
AWS a présenté le |
28 octobre 2024 |
|
|
Autorisations ajoutées pour |
Autorisations de balises ajoutées |
10 octobre 2024 |
|
Présentation d'Amazon EKSWorker NodeMinimalPolicy. |
AWS a présenté le |
3 octobre 2024 |
|
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup. |
Ajout |
21 août 2024 |
|
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup. |
Ajout de |
27 juin 2024 |
|
Amazoneks_CNI_Policy — Mise à jour d'une politique existante |
Amazon EKS a ajouté de nouvelles |
4 mars 2024 |
|
Amazon EKSWorker NodePolicy — Mise à jour d'une politique existante |
Amazon EKS a ajouté de nouvelles autorisations pour permettre les identités du pod EKS. L’agent d’identité du pod Amazon EKS utilise le rôle de nœud. |
26 novembre 2023 |
|
Présentation de la EFSCSIDriverpolitique d'Amazon. |
AWS a présenté le |
26 juillet 2023 |
|
Des autorisations ont été ajoutées à Amazon EKSCluster Policy. |
Ajout d'une autorisation |
7 février 2023 |
|
Conditions de politique mises à jour dans Amazon EBSCSIDriver Policy. |
Conditions de stratégie non valides supprimées comportant des caractères génériques dans le champ clé |
17 novembre 2022 |
|
Des autorisations ont été ajoutées à Amazon EKSLocal OutpostServiceRolePolicy. |
Ajout de |
24 octobre 2022 |
|
Mettez à jour les autorisations d'Amazon Elastic Container Registry sur Amazon EKSLocal OutpostClusterPolicy. |
Déplacement de l'action |
20 octobre 2022 |
|
Des autorisations ont été ajoutées à Amazon EKSLocal OutpostClusterPolicy. |
Ajout du référentiel Amazon Elastic Container Registry |
31 août 2022 |
|
Présentation d'Amazon EKSLocal OutpostClusterPolicy. |
AWS a présenté le |
24 août 2022 |
|
Présentation d'Amazon EKSLocal OutpostServiceRolePolicy. |
AWS a présenté le |
23 août 2022 |
|
Présentation de la EBSCSIDriverpolitique d'Amazon. |
AWS a présenté le |
4 avril 2022 |
|
Des autorisations ont été ajoutées à Amazon EKSWorker NodePolicy. |
Ajouté |
21 mars 2022 |
|
Autorisations ajoutées à AWSServiceRoleForAmazonEKSNodegroup. |
Ajout d'autorisations |
13 décembre 2021 |
|
Des autorisations ont été ajoutées à Amazon EKSCluster Policy. |
Ajout de |
17 juin 2021 |
|
Amazon EKS a commencé à assurer le suivi des modifications. |
Amazon EKS a commencé à suivre les modifications apportées AWS à ses politiques gérées. |
17 juin 2021 |
