Tinjau izin kebijakan akses

Kebijakan akses termasuk rules yang berisi Kubernetes verbs (izin) dan. resources Kebijakan akses tidak menyertakan izin atau sumber daya IAM. Mirip dengan Kubernetes Role dan ClusterRole objek, kebijakan akses hanya menyertakan. allow rules Anda tidak dapat mengubah konten kebijakan akses. Anda tidak dapat membuat kebijakan akses Anda sendiri. Jika izin dalam kebijakan akses tidak memenuhi kebutuhan Anda, buat objek Kubernetes RBAC dan tentukan nama grup untuk entri akses Anda. Untuk informasi selengkapnya, lihat Buat entri akses. Izin yang terdapat dalam kebijakan akses mirip dengan izin di peran klaster yang dihadapi pengguna Kubernetes. Untuk informasi selengkapnya, lihat Peran yang dihadapi pengguna dalam dokumentasi Kubernetes.

Daftar semua kebijakan

Gunakan salah satu kebijakan akses yang tercantum di halaman ini, atau ambil daftar semua kebijakan akses yang tersedia menggunakan AWS CLI:


aws eks list-access-policies

Output yang diharapkan akan terlihat seperti ini (disingkat singkatnya):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

EKSAdminKebijakan Amazon

Kebijakan akses ini mencakup izin yang memberikan izin utama IAM untuk sumber daya. Ketika dikaitkan dengan entri akses, cakupan aksesnya biasanya satu atau beberapa ruang nama Kubernetes. Jika Anda ingin prinsipal IAM memiliki akses administrator ke semua sumber daya di klaster Anda, kaitkan kebijakan Amazon EKSCluster AdminPolicy akses ke entri akses Anda.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`authorization.k8s.io`	`localsubjectaccessreviews`	`create`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
`rbac.authorization.k8s.io`	`rolebindings`, `roles`	`create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`,`list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`serviceaccounts`	`impersonate`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`,`list`, `watch`

Amazon EKSCluster AdminPolicy

Kebijakan akses ini mencakup izin yang memberikan akses administrator utama IAM ke klaster. Ketika dikaitkan dengan entri akses, cakupan aksesnya biasanya adalah klaster, bukan namespace Kubernetes. Jika Anda ingin kepala sekolah IAM memiliki ruang lingkup administratif yang lebih terbatas, pertimbangkan untuk mengaitkan kebijakan EKSAdminKebijakan Amazon akses ke entri akses Anda.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Grup API Kubernetes	Kubernetes NonSumber Daya URLs	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`*`		`*`	`*`
	`*`		`*`

Amazon EKSAdmin ViewPolicy

Kebijakan akses ini mencakup izin yang memberikan akses utama IAM ke list/view semua sumber daya dalam klaster. Perhatikan bahwa ini termasuk Rahasia Kubernetes.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`*`	`*`	`get`, `list`, `watch`

EKSEditKebijakan Amazon

Kebijakan akses ini mencakup izin yang memungkinkan prinsipal IAM untuk mengedit sebagian besar sumber daya Kubernetes.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`serviceaccounts`	`impersonate`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`

EKSViewKebijakan Amazon

Kebijakan akses ini mencakup izin yang memungkinkan prinsipal IAM untuk melihat sebagian besar sumber daya Kubernetes.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`,`events`,`limitranges`,`namespaces/status`,`pods/log`,`pods/status`,`replicationcontrollers/status`,`resourcequotas`, r `esourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`

Amazon EKSSecret ReaderPolicy

Kebijakan akses ini mencakup izin yang memungkinkan kepala sekolah IAM membaca Rahasia Kubernetes.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
	`secrets`	`get`, `list`, `watch`

Amazon EKSAuto NodePolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Kebijakan ini mencakup izin berikut yang memungkinkan komponen Amazon EKS menyelesaikan tugas-tugas berikut:

kube-proxy— Pantau titik akhir dan layanan jaringan, dan kelola acara terkait. Ini memungkinkan fungsionalitas proxy jaringan di seluruh cluster.
ipamd— Kelola sumber daya jaringan AWS VPC dan antarmuka jaringan kontainer (CNI). Hal ini memungkinkan daemon manajemen alamat IP untuk menangani jaringan pod.
coredns— Akses sumber daya penemuan layanan seperti titik akhir dan layanan. Ini memungkinkan resolusi DNS dalam cluster.
ebs-csi-driver— Bekerja dengan sumber daya terkait penyimpanan untuk volume Amazon EBS. Hal ini memungkinkan penyediaan dinamis dan lampiran volume persisten.
neuron— Pantau node dan pod untuk perangkat AWS Neuron. Hal ini memungkinkan pengelolaan AWS akselerator Inferentia dan Trainium.
node-monitoring-agent— Akses diagnostik dan acara node. Hal ini memungkinkan pemantauan kesehatan cluster dan pengumpulan diagnostik.

Setiap komponen menggunakan akun layanan khusus dan dibatasi hanya untuk izin yang diperlukan untuk fungsi spesifiknya.

Jika Anda secara manual menentukan peran IAM Node dalam a NodeClass, Anda perlu membuat Entri Akses yang mengaitkan peran IAM Node baru dengan Kebijakan Akses ini.

Amazon EKSBlock StoragePolicy

catatan

Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola pemilihan pemimpin dan sumber daya koordinasi untuk operasi penyimpanan:

coordination.k8s.io— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen penyimpanan EKS untuk mengoordinasikan kegiatan mereka di seluruh cluster melalui mekanisme pemilihan pemimpin.

Kebijakan ini mencakup sumber daya sewa khusus yang digunakan oleh komponen penyimpanan EKS untuk mencegah akses yang bertentangan ke sumber daya koordinasi lain di cluster.

Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan penyimpanan blok berfungsi dengan baik.

Amazon EKSLoad BalancingPolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola sumber daya pemilihan pemimpin untuk penyeimbangan beban:

coordination.k8s.io— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen penyeimbang beban EKS untuk mengoordinasikan aktivitas di beberapa replika dengan memilih pemimpin.

Kebijakan ini dicakup secara khusus untuk memuat penyeimbangan sumber daya sewa untuk memastikan koordinasi yang tepat sekaligus mencegah akses ke sumber daya sewa lainnya di cluster.

EKSNetworkingKebijakan Amazon

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola sumber daya pemilihan pemimpin untuk jaringan:

coordination.k8s.io— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen jaringan EKS untuk mengoordinasikan aktivitas alokasi alamat IP dengan memilih pemimpin.

Kebijakan ini dicakup secara khusus untuk jaringan sumber daya sewa untuk memastikan koordinasi yang tepat sambil mencegah akses ke sumber daya sewa lainnya di cluster.

EKSComputeKebijakan Amazon

catatan

Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola sumber daya pemilihan pemimpin untuk operasi komputasi:

coordination.k8s.io— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen komputasi EKS untuk mengoordinasikan aktivitas penskalaan node dengan memilih pemimpin.

Kebijakan ini dicakup secara khusus untuk menghitung sumber daya sewa manajemen sambil memungkinkan akses baca dasar (get,watch) ke semua sumber daya sewa di cluster.

Amazon EKSBlock StorageClusterPolicy

catatan

Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Kebijakan ini memberikan izin yang diperlukan untuk kemampuan penyimpanan blok Mode Otomatis Amazon EKS. Ini memungkinkan pengelolaan sumber daya penyimpanan blok yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:

Manajemen Driver CSI:

Buat, baca, perbarui, dan hapus driver CSI, khusus untuk penyimpanan blok.

Manajemen Volume:

Buat daftar, tonton, buat, perbarui, tambal, dan hapus volume persisten.
Buat daftar, tonton, dan perbarui klaim volume persisten.
Patch status klaim volume persisten.

Interaksi Node dan Pod:

Baca informasi node dan pod.
Kelola acara yang terkait dengan operasi penyimpanan.

Kelas dan Atribut Penyimpanan:

Baca kelas penyimpanan dan node CSI.
Baca kelas atribut volume.

Lampiran Volume:

Buat daftar, tonton, dan ubah lampiran volume dan statusnya.

Operasi Snapshot:

Kelola snapshot volume, konten snapshot, dan kelas snapshot.
Menangani operasi untuk snapshot grup volume dan sumber daya terkait.

Kebijakan ini dirancang untuk mendukung manajemen penyimpanan blok komprehensif dalam kluster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk penyediaan, melampirkan, mengubah ukuran, dan snapshotting volume penyimpanan blok.

Amazon EKSCompute ClusterPolicy

catatan

Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Kebijakan ini memberikan izin yang diperlukan untuk kemampuan manajemen komputasi Mode Otomatis Amazon EKS. Ini memungkinkan orkestrasi dan penskalaan sumber daya komputasi yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:

Manajemen Node:

Membuat, membaca, memperbarui, menghapus, dan mengelola status NodePools dan NodeClaims.
Kelola NodeClasses, termasuk pembuatan, modifikasi, dan penghapusan.

Penjadwalan dan Manajemen Sumber Daya:

Baca akses ke pod, node, volume persisten, klaim volume persisten, pengontrol replikasi, dan ruang nama.
Baca akses ke kelas penyimpanan, node CSI, dan lampiran volume.
Daftar dan tonton penerapan, set daemon, set replika, dan set stateful.
Baca anggaran gangguan pod.

Penanganan Acara:

Buat, baca, dan kelola acara cluster.

Pencabutan Node dan Penggusuran Pod:

Perbarui, tambal, dan hapus node.
Buat penggusuran pod dan hapus pod bila perlu.

Manajemen Definisi Sumber Daya Kustom (CRD):

Buat yang baru CRDs.
Kelola spesifik CRDs yang terkait dengan manajemen node (NodeClasses NodePools, NodeClaims,, dan NodeDiagnostics).

Kebijakan ini dirancang untuk mendukung manajemen komputasi komprehensif dalam kluster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk penyediaan node, penjadwalan, penskalaan, dan optimasi sumber daya.

Amazon EKSLoad BalancingClusterPolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Kebijakan ini memberikan izin yang diperlukan untuk kemampuan penyeimbangan beban Mode Otomatis Amazon EKS. Ini memungkinkan manajemen dan konfigurasi sumber daya penyeimbang beban yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:

Manajemen Acara dan Sumber Daya:

Membuat dan menambal acara.
Baca akses ke pod, node, endpoint, dan namespace.
Perbarui status pod.

Manajemen Layanan dan Ingress:

Manajemen penuh layanan dan statusnya.
Kontrol komprehensif atas masuknya dan statusnya.
Baca akses ke irisan titik akhir dan kelas ingress.

Binding Grup Sasaran:

Membuat dan memodifikasi binding grup target dan statusnya.
Baca akses ke parameter kelas ingress.

Manajemen Definisi Sumber Daya Kustom (CRD):

Buat dan baca semuanya CRDs.
Manajemen khusus targetgroupbindings.eks.amazonaws.com dan ingressclassparams.eks.amazonaws.com. CRDs

Konfigurasi Webhook:

Membuat dan membaca mutasi dan memvalidasi konfigurasi webhook.
Kelola eks-load-balancing-webhook konfigurasi.

Kebijakan ini dirancang untuk mendukung manajemen load balancing yang komprehensif dalam klaster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk eksposur layanan, perutean masuk, dan integrasi dengan layanan penyeimbangan AWS beban.

Amazon EKSNetworking ClusterPolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

Amazon EKSNetworking ClusterPolicy

Kebijakan ini memberikan izin yang diperlukan untuk kemampuan jaringan Amazon EKS Auto Mode. Ini memungkinkan manajemen dan konfigurasi sumber daya jaringan yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:

Manajemen Node dan Pod:

Baca akses ke NodeClasses dan status mereka.
Baca akses ke NodeClaims dan status mereka.
Baca akses ke pod.

Manajemen Node CNI:

Izin untuk CNINodes dan statusnya, termasuk membuat, membaca, memperbarui, menghapus, dan menambal.

Manajemen Definisi Sumber Daya Kustom (CRD):

Buat dan baca semuanya CRDs.
Manajemen khusus (pembaruan, tambalan, hapus) dari CNinodes.eks.amazonaws.com CRD.

Manajemen Acara:

Membuat dan menambal acara.

Kebijakan ini dirancang untuk mendukung manajemen jaringan yang komprehensif dalam kluster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk konfigurasi jaringan node, manajemen CNI (Container Network Interface), dan penanganan sumber daya khusus terkait.

Kebijakan ini memungkinkan komponen jaringan untuk berinteraksi dengan sumber daya terkait node, mengelola konfigurasi node khusus CNI, dan menangani sumber daya khusus yang penting untuk operasi jaringan di cluster.

EKSHybridKebijakan Amazon

catatan

Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.

Kebijakan akses ini mencakup izin yang memberikan EKS akses ke node klaster. Ketika dikaitkan dengan entri akses, cakupan aksesnya biasanya adalah klaster, bukan namespace Kubernetes. Kebijakan ini digunakan oleh node hibrida Amazon EKS.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Grup API Kubernetes	Kubernetes NonSumber Daya URLs	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`*`		`nodes`	`list`

Amazon EKSCluster InsightsPolicy

catatan

Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Kebijakan ini memberikan izin hanya-baca untuk fungsionalitas Amazon EKS Cluster Insights. Kebijakan ini mencakup izin berikut:

Akses Node: - Daftar dan lihat node cluster - Baca informasi status node

DaemonSet Akses: - Baca akses ke konfigurasi kube-proxy

Kebijakan ini dikelola secara otomatis oleh layanan EKS untuk Cluster Insights. Untuk informasi selengkapnya, lihat Bersiaplah untuk upgrade versi Kubernetes dan pecahkan masalah kesalahan konfigurasi dengan wawasan klaster.

AWSBackupFullAccessPolicyForBackup

ARN– arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

Kebijakan ini memberikan izin yang diperlukan untuk AWS Cadangan untuk mengelola dan membuat cadangan Kluster EKS. Kebijakan ini mencakup izin berikut:

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`*`	`*`	`list`, `get`

AWSBackupFullAccessPolicyForRestore

ARN– arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

Kebijakan ini memberikan izin yang diperlukan untuk AWS Cadangan untuk mengelola dan memulihkan cadangan Kluster EKS. Kebijakan ini mencakup izin berikut:

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`*`	`*`	`list`, `get`, `create`

Amazon EKSACKPolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy

Kebijakan ini memberikan izin yang diperlukan untuk kemampuan AWS Controllers for Kubernetes (ACK) untuk mengelola sumber daya dari Kubernetes. AWS Kebijakan ini mencakup izin berikut:

Manajemen Sumber Daya Kustom ACK:

Akses penuh ke semua sumber daya kustom layanan ACK di 50+ AWS layanan termasuk S3, RDS, DynamoDB, Lambda, dan banyak lagi. EC2
Buat, baca, perbarui, dan hapus definisi sumber daya khusus ACK.

Akses Namespace:

Baca akses ke ruang nama untuk organisasi sumber daya.

Pemilu Pemimpin:

Membuat dan membaca sewa koordinasi untuk pemilihan pimpinan.
Perbarui dan hapus sewa pengontrol layanan ACK tertentu.

Manajemen Acara:

Membuat dan menambal acara untuk operasi ACK.

Kebijakan ini dirancang untuk mendukung pengelolaan AWS sumber daya yang komprehensif melalui APIs Kubernetes. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan ACK dibuat.

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
	`namespaces`	`get`, `watch`, `list`
`services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws`	`*`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases`(hanya sewa pengontrol layanan ACK tertentu)	`delete`, `update`, `patch`
	`events`	`create`, `patch`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`

EKSArgoCDClusterKebijakan Amazon

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

Kebijakan ini memberikan izin tingkat klaster yang diperlukan untuk kemampuan Argo CD untuk menemukan sumber daya dan mengelola objek dengan cakupan klaster. Kebijakan ini mencakup izin berikut:

Manajemen Namespace:

Buat, baca, perbarui, dan hapus ruang nama untuk manajemen namespace aplikasi.

Manajemen Definisi Sumber Daya Kustom:

Kelola Argo CD-spesifik CRDs (Aplikasi,, AppProjects). ApplicationSets

Penemuan API:

Baca akses ke titik akhir API Kubernetes untuk penemuan sumber daya.

Kebijakan ini dirancang untuk mendukung operasi CD Argo tingkat cluster termasuk manajemen namespace dan instalasi CRD. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan Argo CD dibuat.

Grup API Kubernetes	Kubernetes NonSumber Daya URLs	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
		`namespaces`	`create`, `get`, `update`, `patch`, `delete`
`apiextensions.k8s.io`		`customresourcedefinitions`	`create`
`apiextensions.k8s.io`		`customresourcedefinitions`( CRDs Hanya CD Argo)	`get`, `update`, `patch`, `delete`
	`/api`, `/api/`, `/apis`, `/apis/`		`get`

Amazon EKSArgo CDPolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

Kebijakan ini memberikan izin tingkat ruang nama yang diperlukan untuk kemampuan Argo CD untuk menyebarkan dan mengelola aplikasi. Kebijakan ini mencakup izin berikut:

Manajemen Rahasia:

Akses penuh ke rahasia untuk kredensi Git dan rahasia klaster.

ConfigMap Akses:

Baca akses ConfigMaps untuk mengirim peringatan jika pelanggan mencoba menggunakan CD Argo yang tidak didukung. ConfigMaps

Manajemen Acara:

Baca dan buat acara untuk pelacakan siklus hidup aplikasi.

Manajemen Sumber Daya Argo CD:

Akses penuh ke Aplikasi, ApplicationSets, dan AppProjects.
Kelola finalizer dan status untuk sumber daya Argo CD.

Kebijakan ini dirancang untuk mendukung operasi CD Argo tingkat namespace termasuk penerapan dan manajemen aplikasi. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan Argo CD dibuat, dicakup ke namespace Argo CD.

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
	`secrets`	`*`
	`configmaps`	`get`, `list`, `watch`
	`events`	`get`, `list`, `watch`, `patch`, `create`
`argoproj.io`	`applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status`	`*`

Amazon EKSKROPolicy

ARN– arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy

Kebijakan ini memberikan izin yang diperlukan untuk kemampuan kro (Kube Resource Orchestrator) untuk membuat dan mengelola Kubernetes kustom. APIs Kebijakan ini mencakup izin berikut:

Manajemen Sumber Daya Kro:

Akses penuh ke semua sumber daya kro termasuk ResourceGraphDefinitions dan instance sumber daya khusus.

Manajemen Definisi Sumber Daya Kustom:

Buat, baca, perbarui, dan hapus CRDs untuk kustom APIs yang ditentukan oleh ResourceGraphDefinitions.

Pemilu Pemimpin:

Membuat dan membaca sewa koordinasi untuk pemilihan pimpinan.
Perbarui dan hapus sewa pengontrol kro.

Manajemen Acara:

Membuat dan menambal acara untuk operasi kro.

Kebijakan ini dirancang untuk mendukung komposisi sumber daya yang komprehensif dan manajemen API kustom melalui kro. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan kro dibuat.

Grup API Kubernetes	Sumber daya Kubernetes	Kata kerja Kubernetes (izin)
`kro.run`	`*`	`*`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases`(hanya sewa pengontrol kro)	`delete`, `update`, `patch`
	`events`	`create`, `patch`

Akses pembaruan kebijakan

Lihat detail tentang pembaruan untuk mengakses kebijakan, sejak diperkenalkan. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di. Riwayat dokumen

Ubah	Deskripsi	Date
Tambahkan kebijakan untuk Kemampuan EKS	Publikasikan `AmazonEKSACKPolicyAmazonEKSArgoCDClusterPolicy`,`AmazonEKSArgoCDPolicy`,, dan `AmazonEKSKROPolicy` untuk mengelola Kemampuan EKS	November 22, 2025
Menambahkan `AmazonEKSSecretReaderPolicy`	Menambahkan kebijakan baru untuk akses read-only ke rahasia	November 6, 2025
Tambahkan kebijakan untuk EKS Cluster Insights	Publikasikan `AmazonEKSClusterInsightsPolicy`	Desember 2, 2024
Tambahkan kebijakan untuk Amazon EKS Hybrid	Publikasikan `AmazonEKSHybridPolicy`	Desember 2, 2024
Tambahkan kebijakan untuk Mode Otomatis Amazon EKS	Kebijakan akses ini memberikan izin kepada Peran IAM Cluster dan Peran IAM Node untuk memanggil Kubernetes. APIs AWS menggunakan ini untuk mengotomatiskan tugas-tugas rutin untuk penyimpanan, komputasi, dan sumber daya jaringan.	Desember 2, 2024
Menambahkan `AmazonEKSAdminViewPolicy`	Tambahkan kebijakan baru untuk akses tampilan yang diperluas, termasuk sumber daya seperti Rahasia.	April 23, 2024
Kebijakan akses diperkenalkan.	Amazon EKS memperkenalkan kebijakan akses.	29 Mei 2023

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Migrasi untuk mengakses entri

Mode autentikasi