**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Tinjau izin kebijakan akses
Kebijakan akses termasuk `rules` yang berisi Kubernetes `verbs` (izin) dan. `resources` Kebijakan akses tidak menyertakan izin atau sumber daya IAM. Mirip dengan Kubernetes `Role` dan `ClusterRole` objek, kebijakan akses hanya menyertakan. `allow` `rules` Anda tidak dapat mengubah konten kebijakan akses. Anda tidak dapat membuat kebijakan akses Anda sendiri. Jika izin dalam kebijakan akses tidak memenuhi kebutuhan Anda, buat objek Kubernetes RBAC dan tentukan nama *grup* untuk entri akses Anda. Untuk informasi selengkapnya, lihat [Buat entri akses](creating-access-entries.md). Izin yang terdapat dalam kebijakan akses mirip dengan izin di peran klaster yang dihadapi pengguna Kubernetes. Untuk informasi selengkapnya, lihat [Peran yang dihadapi pengguna dalam dokumentasi](https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles) Kubernetes.
## Daftar semua kebijakan
Gunakan salah satu kebijakan akses yang tercantum di halaman ini, atau ambil daftar semua kebijakan akses yang tersedia menggunakan AWS CLI:
```
aws eks list-access-policies
```
Output yang diharapkan akan terlihat seperti ini (disingkat singkatnya):
```
{
"accessPolicies": [
{
"name": "AmazonAIOpsAssistantPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
},
{
"name": "AmazonARCRegionSwitchScalingPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
},
{
"name": "AmazonEKSAdminPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
},
{
"name": "AmazonEKSAdminViewPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
},
{
"name": "AmazonEKSAutoNodePolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
}
// Additional policies omitted
]
}
```
## EKSAdminKebijakan Amazon
Kebijakan akses ini mencakup izin yang memberikan izin utama IAM untuk sumber daya. Ketika dikaitkan dengan entri akses, cakupan aksesnya biasanya satu atau beberapa ruang nama Kubernetes. Jika Anda ingin prinsipal IAM memiliki akses administrator ke semua sumber daya di klaster Anda, kaitkan kebijakan [Amazon EKSCluster AdminPolicy](#access-policy-permissions-amazoneksclusteradminpolicy) akses ke entri akses Anda.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy`
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `authorization.k8s.io` | `localsubjectaccessreviews` | `create` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| `rbac.authorization.k8s.io` | `rolebindings`, `roles` | `create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`,`list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `serviceaccounts` | `impersonate` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`,`list`, `watch` |
## Amazon EKSCluster AdminPolicy
Kebijakan akses ini mencakup izin yang memberikan akses administrator utama IAM ke klaster. Ketika dikaitkan dengan entri akses, cakupan aksesnya biasanya adalah klaster, bukan namespace Kubernetes. Jika Anda ingin kepala sekolah IAM memiliki ruang lingkup administratif yang lebih terbatas, pertimbangkan untuk mengaitkan kebijakan [EKSAdminKebijakan Amazon](#access-policy-permissions-amazoneksadminpolicy) akses ke entri akses Anda.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy`
| Grup API Kubernetes | Kubernetes NonSumber Daya URLs | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- | --- |
| `*` | | `*` | `*` |
| | `*` | | `*` |
## Amazon EKSAdmin ViewPolicy
Kebijakan akses ini mencakup izin yang memberikan akses utama IAM ke list/view semua sumber daya dalam klaster. Perhatikan bahwa ini termasuk Rahasia [Kubernetes](https://kubernetes.io/docs/concepts/configuration/secret/).
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy`
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `*` | `*` | `get`, `list`, `watch` |
## EKSEditKebijakan Amazon
Kebijakan akses ini mencakup izin yang memungkinkan prinsipal IAM untuk mengedit sebagian besar sumber daya Kubernetes.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy`
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `serviceaccounts` | `impersonate` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
## EKSViewKebijakan Amazon
Kebijakan akses ini mencakup izin yang memungkinkan prinsipal IAM untuk melihat sebagian besar sumber daya Kubernetes.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy`
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`,`events`,`limitranges`,`namespaces/status`,`pods/log`,`pods/status`,`replicationcontrollers/status`,`resourcequotas`, r `esourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
## Amazon EKSSecret ReaderPolicy
Kebijakan akses ini mencakup izin yang memungkinkan kepala sekolah IAM membaca Rahasia [Kubernetes](https://kubernetes.io/docs/concepts/configuration/secret/).
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy`
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| | `secrets` | `get`, `list`, `watch` |
## Amazon EKSAuto NodePolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy`
Kebijakan ini mencakup izin berikut yang memungkinkan komponen Amazon EKS menyelesaikan tugas-tugas berikut:
+ `kube-proxy`— Pantau titik akhir dan layanan jaringan, dan kelola acara terkait. Ini memungkinkan fungsionalitas proxy jaringan di seluruh cluster.
+ `ipamd`— Kelola sumber daya jaringan AWS VPC dan antarmuka jaringan kontainer (CNI). Hal ini memungkinkan daemon manajemen alamat IP untuk menangani jaringan pod.
+ `coredns`— Akses sumber daya penemuan layanan seperti titik akhir dan layanan. Ini memungkinkan resolusi DNS dalam cluster.
+ `ebs-csi-driver`— Bekerja dengan sumber daya terkait penyimpanan untuk volume Amazon EBS. Hal ini memungkinkan penyediaan dinamis dan lampiran volume persisten.
+ `neuron`— Pantau node dan pod untuk perangkat AWS Neuron. Hal ini memungkinkan pengelolaan AWS akselerator Inferentia dan Trainium.
+ `node-monitoring-agent`— Akses diagnostik dan acara node. Hal ini memungkinkan pemantauan kesehatan cluster dan pengumpulan diagnostik.
Setiap komponen menggunakan akun layanan khusus dan dibatasi hanya untuk izin yang diperlukan untuk fungsi spesifiknya.
Jika Anda secara manual menentukan peran IAM Node dalam a NodeClass, Anda perlu membuat Entri Akses yang mengaitkan peran IAM Node baru dengan Kebijakan Akses ini.
## Amazon EKSBlock StoragePolicy
**catatan**
Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy`
Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola pemilihan pemimpin dan sumber daya koordinasi untuk operasi penyimpanan:
+ `coordination.k8s.io`— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen penyimpanan EKS untuk mengoordinasikan kegiatan mereka di seluruh cluster melalui mekanisme pemilihan pemimpin.
Kebijakan ini mencakup sumber daya sewa khusus yang digunakan oleh komponen penyimpanan EKS untuk mencegah akses yang bertentangan ke sumber daya koordinasi lain di cluster.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan penyimpanan blok berfungsi dengan baik.
## Amazon EKSLoad BalancingPolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy`
Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola sumber daya pemilihan pemimpin untuk penyeimbangan beban:
+ `coordination.k8s.io`— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen penyeimbang beban EKS untuk mengoordinasikan aktivitas di beberapa replika dengan memilih pemimpin.
Kebijakan ini dicakup secara khusus untuk memuat penyeimbangan sumber daya sewa untuk memastikan koordinasi yang tepat sekaligus mencegah akses ke sumber daya sewa lainnya di cluster.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan jaringan berfungsi dengan baik.
## EKSNetworkingKebijakan Amazon
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy`
Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola sumber daya pemilihan pemimpin untuk jaringan:
+ `coordination.k8s.io`— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen jaringan EKS untuk mengoordinasikan aktivitas alokasi alamat IP dengan memilih pemimpin.
Kebijakan ini dicakup secara khusus untuk jaringan sumber daya sewa untuk memastikan koordinasi yang tepat sambil mencegah akses ke sumber daya sewa lainnya di cluster.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan jaringan berfungsi dengan baik.
## EKSComputeKebijakan Amazon
**catatan**
Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy`
Kebijakan ini mencakup izin yang memungkinkan Amazon EKS mengelola sumber daya pemilihan pemimpin untuk operasi komputasi:
+ `coordination.k8s.io`— Membuat dan mengelola objek sewa untuk pemilihan pemimpin. Hal ini memungkinkan komponen komputasi EKS untuk mengoordinasikan aktivitas penskalaan node dengan memilih pemimpin.
Kebijakan ini dicakup secara khusus untuk menghitung sumber daya sewa manajemen sambil memungkinkan akses baca dasar (`get`,`watch`) ke semua sumber daya sewa di cluster.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan jaringan berfungsi dengan baik.
## Amazon EKSBlock StorageClusterPolicy
**catatan**
Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy`
Kebijakan ini memberikan izin yang diperlukan untuk kemampuan penyimpanan blok Mode Otomatis Amazon EKS. Ini memungkinkan pengelolaan sumber daya penyimpanan blok yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:
Manajemen Driver CSI:
+ Buat, baca, perbarui, dan hapus driver CSI, khusus untuk penyimpanan blok.
Manajemen Volume:
+ Buat daftar, tonton, buat, perbarui, tambal, dan hapus volume persisten.
+ Buat daftar, tonton, dan perbarui klaim volume persisten.
+ Patch status klaim volume persisten.
Interaksi Node dan Pod:
+ Baca informasi node dan pod.
+ Kelola acara yang terkait dengan operasi penyimpanan.
Kelas dan Atribut Penyimpanan:
+ Baca kelas penyimpanan dan node CSI.
+ Baca kelas atribut volume.
Lampiran Volume:
+ Buat daftar, tonton, dan ubah lampiran volume dan statusnya.
Operasi Snapshot:
+ Kelola snapshot volume, konten snapshot, dan kelas snapshot.
+ Menangani operasi untuk snapshot grup volume dan sumber daya terkait.
Kebijakan ini dirancang untuk mendukung manajemen penyimpanan blok komprehensif dalam kluster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk penyediaan, melampirkan, mengubah ukuran, dan snapshotting volume penyimpanan blok.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan penyimpanan blok berfungsi dengan baik.
## Amazon EKSCompute ClusterPolicy
**catatan**
Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy`
Kebijakan ini memberikan izin yang diperlukan untuk kemampuan manajemen komputasi Mode Otomatis Amazon EKS. Ini memungkinkan orkestrasi dan penskalaan sumber daya komputasi yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:
Manajemen Node:
+ Membuat, membaca, memperbarui, menghapus, dan mengelola status NodePools dan NodeClaims.
+ Kelola NodeClasses, termasuk pembuatan, modifikasi, dan penghapusan.
Penjadwalan dan Manajemen Sumber Daya:
+ Baca akses ke pod, node, volume persisten, klaim volume persisten, pengontrol replikasi, dan ruang nama.
+ Baca akses ke kelas penyimpanan, node CSI, dan lampiran volume.
+ Daftar dan tonton penerapan, set daemon, set replika, dan set stateful.
+ Baca anggaran gangguan pod.
Penanganan Acara:
+ Buat, baca, dan kelola acara cluster.
Pencabutan Node dan Penggusuran Pod:
+ Perbarui, tambal, dan hapus node.
+ Buat penggusuran pod dan hapus pod bila perlu.
Manajemen Definisi Sumber Daya Kustom (CRD):
+ Buat yang baru CRDs.
+ Kelola spesifik CRDs yang terkait dengan manajemen node (NodeClasses NodePools, NodeClaims,, dan NodeDiagnostics).
Kebijakan ini dirancang untuk mendukung manajemen komputasi komprehensif dalam kluster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk penyediaan node, penjadwalan, penskalaan, dan optimasi sumber daya.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan manajemen komputasi berfungsi dengan baik.
## Amazon EKSLoad BalancingClusterPolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy`
Kebijakan ini memberikan izin yang diperlukan untuk kemampuan penyeimbangan beban Mode Otomatis Amazon EKS. Ini memungkinkan manajemen dan konfigurasi sumber daya penyeimbang beban yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:
Manajemen Acara dan Sumber Daya:
+ Membuat dan menambal acara.
+ Baca akses ke pod, node, endpoint, dan namespace.
+ Perbarui status pod.
Manajemen Layanan dan Ingress:
+ Manajemen penuh layanan dan statusnya.
+ Kontrol komprehensif atas masuknya dan statusnya.
+ Baca akses ke irisan titik akhir dan kelas ingress.
Binding Grup Sasaran:
+ Membuat dan memodifikasi binding grup target dan statusnya.
+ Baca akses ke parameter kelas ingress.
Manajemen Definisi Sumber Daya Kustom (CRD):
+ Buat dan baca semuanya CRDs.
+ Manajemen khusus targetgroupbindings.eks.amazonaws.com dan ingressclassparams.eks.amazonaws.com. CRDs
Konfigurasi Webhook:
+ Membuat dan membaca mutasi dan memvalidasi konfigurasi webhook.
+ Kelola eks-load-balancing-webhook konfigurasi.
Kebijakan ini dirancang untuk mendukung manajemen load balancing yang komprehensif dalam klaster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk eksposur layanan, perutean masuk, dan integrasi dengan layanan penyeimbangan AWS beban.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan penyeimbangan beban berfungsi dengan baik.
## Amazon EKSNetworking ClusterPolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy`
Amazon EKSNetworking ClusterPolicy
Kebijakan ini memberikan izin yang diperlukan untuk kemampuan jaringan Amazon EKS Auto Mode. Ini memungkinkan manajemen dan konfigurasi sumber daya jaringan yang efisien dalam kluster Amazon EKS. Kebijakan ini mencakup izin berikut:
Manajemen Node dan Pod:
+ Baca akses ke NodeClasses dan status mereka.
+ Baca akses ke NodeClaims dan status mereka.
+ Baca akses ke pod.
Manajemen Node CNI:
+ Izin untuk CNINodes dan statusnya, termasuk membuat, membaca, memperbarui, menghapus, dan menambal.
Manajemen Definisi Sumber Daya Kustom (CRD):
+ Buat dan baca semuanya CRDs.
+ Manajemen khusus (pembaruan, tambalan, hapus) dari CNinodes.eks.amazonaws.com CRD.
Manajemen Acara:
+ Membuat dan menambal acara.
Kebijakan ini dirancang untuk mendukung manajemen jaringan yang komprehensif dalam kluster Amazon EKS yang berjalan dalam Mode Otomatis. Ini menggabungkan izin untuk berbagai operasi termasuk konfigurasi jaringan node, manajemen CNI (Container Network Interface), dan penanganan sumber daya khusus terkait.
Kebijakan ini memungkinkan komponen jaringan untuk berinteraksi dengan sumber daya terkait node, mengelola konfigurasi node khusus CNI, dan menangani sumber daya khusus yang penting untuk operasi jaringan di cluster.
Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM klaster saat Mode Otomatis diaktifkan, memastikan bahwa izin yang diperlukan tersedia agar kemampuan jaringan berfungsi dengan baik.
## EKSHybridKebijakan Amazon
**catatan**
Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.
Kebijakan akses ini mencakup izin yang memberikan EKS akses ke node klaster. Ketika dikaitkan dengan entri akses, cakupan aksesnya biasanya adalah klaster, bukan namespace Kubernetes. Kebijakan ini digunakan oleh node hibrida Amazon EKS.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy`
| Grup API Kubernetes | Kubernetes NonSumber Daya URLs | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- | --- |
| `*` | | `nodes` | `list` |
## Amazon EKSCluster InsightsPolicy
**catatan**
Kebijakan ini ditujukan hanya untuk peran AWS terkait layanan dan tidak dapat digunakan dengan peran yang dikelola pelanggan.
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy`
Kebijakan ini memberikan izin hanya-baca untuk fungsionalitas Amazon EKS Cluster Insights. Kebijakan ini mencakup izin berikut:
Akses Node: - Daftar dan lihat node cluster - Baca informasi status node
DaemonSet Akses: - Baca akses ke konfigurasi kube-proxy
Kebijakan ini dikelola secara otomatis oleh layanan EKS untuk Cluster Insights. Untuk informasi selengkapnya, lihat [Bersiaplah untuk upgrade versi Kubernetes dan pecahkan masalah kesalahan konfigurasi dengan wawasan klaster](cluster-insights.md).
## AWSBackupFullAccessPolicyForBackup
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup`
AWSBackupFullAccessPolicyForBackup
Kebijakan ini memberikan izin yang diperlukan untuk AWS Cadangan untuk mengelola dan membuat cadangan Kluster EKS. Kebijakan ini mencakup izin berikut:
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `*` | `*` | `list`, `get` |
## AWSBackupFullAccessPolicyForRestore
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore`
AWSBackupFullAccessPolicyForRestore
Kebijakan ini memberikan izin yang diperlukan untuk AWS Cadangan untuk mengelola dan memulihkan cadangan Kluster EKS. Kebijakan ini mencakup izin berikut:
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `*` | `*` | `list`, `get`, `create` |
## Amazon EKSACKPolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy`
Kebijakan ini memberikan izin yang diperlukan untuk kemampuan AWS Controllers for Kubernetes (ACK) untuk mengelola sumber daya dari Kubernetes. AWS Kebijakan ini mencakup izin berikut:
Manajemen Sumber Daya Kustom ACK:
+ Akses penuh ke semua sumber daya kustom layanan ACK di 50\$1 AWS layanan termasuk S3, RDS, DynamoDB, Lambda, EC2, dan banyak lagi.
+ Buat, baca, perbarui, dan hapus definisi sumber daya khusus ACK.
Akses Namespace:
+ Baca akses ke ruang nama untuk organisasi sumber daya.
Pemilu Pemimpin:
+ Membuat dan membaca sewa koordinasi untuk pemilihan pimpinan.
+ Perbarui dan hapus sewa pengontrol layanan ACK tertentu.
Manajemen Acara:
+ Membuat dan menambal acara untuk operasi ACK.
Kebijakan ini dirancang untuk mendukung pengelolaan AWS sumber daya yang komprehensif melalui APIs Kubernetes. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan ACK dibuat.
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| | `namespaces` | `get`, `watch`, `list` |
| `services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws` | `*` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases`(hanya sewa pengontrol layanan ACK tertentu) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
## EKSArgoCDClusterKebijakan Amazon
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy`
Kebijakan ini memberikan izin tingkat klaster yang diperlukan untuk kemampuan Argo CD untuk menemukan sumber daya dan mengelola objek dengan cakupan klaster. Kebijakan ini mencakup izin berikut:
Manajemen Namespace:
+ Buat, baca, perbarui, dan hapus ruang nama untuk manajemen namespace aplikasi.
Manajemen Definisi Sumber Daya Kustom:
+ Kelola Argo CD-spesifik CRDs (Aplikasi,, AppProjects). ApplicationSets
Penemuan API:
+ Baca akses ke titik akhir API Kubernetes untuk penemuan sumber daya.
Kebijakan ini dirancang untuk mendukung operasi CD Argo tingkat cluster termasuk manajemen namespace dan instalasi CRD. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan Argo CD dibuat.
| Grup API Kubernetes | Kubernetes NonSumber Daya URLs | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- | --- |
| | | `namespaces` | `create`, `get`, `update`, `patch`, `delete` |
| `apiextensions.k8s.io` | | `customresourcedefinitions` | `create` |
| `apiextensions.k8s.io` | | `customresourcedefinitions`( CRDs Hanya CD Argo) | `get`, `update`, `patch`, `delete` |
| | `/api`, `/api/*`, `/apis`, `/apis/*` | | `get` |
## Amazon EKSArgo CDPolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy`
Kebijakan ini memberikan izin tingkat ruang nama yang diperlukan untuk kemampuan Argo CD untuk menyebarkan dan mengelola aplikasi. Kebijakan ini mencakup izin berikut:
Manajemen Rahasia:
+ Akses penuh ke rahasia untuk kredensi Git dan rahasia klaster.
ConfigMap Akses:
+ Baca akses ConfigMaps untuk mengirim peringatan jika pelanggan mencoba menggunakan CD Argo yang tidak didukung. ConfigMaps
Manajemen Acara:
+ Baca dan buat acara untuk pelacakan siklus hidup aplikasi.
Manajemen Sumber Daya Argo CD:
+ Akses penuh ke Aplikasi, ApplicationSets, dan AppProjects.
+ Kelola finalizer dan status untuk sumber daya Argo CD.
Kebijakan ini dirancang untuk mendukung operasi CD Argo tingkat namespace termasuk penerapan dan manajemen aplikasi. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan Argo CD dibuat, dicakup ke namespace Argo CD.
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| | `secrets` | `*` |
| | `configmaps` | `get`, `list`, `watch` |
| | `events` | `get`, `list`, `watch`, `patch`, `create` |
| `argoproj.io` | `applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status` | `*` |
## Amazon EKSKROPolicy
**ARN**–` arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy`
Kebijakan ini memberikan izin yang diperlukan untuk kemampuan kro (Kube Resource Orchestrator) untuk membuat dan mengelola Kubernetes kustom. APIs Kebijakan ini mencakup izin berikut:
Manajemen Sumber Daya Kro:
+ Akses penuh ke semua sumber daya kro termasuk ResourceGraphDefinitions dan instance sumber daya khusus.
Manajemen Definisi Sumber Daya Kustom:
+ Buat, baca, perbarui, dan hapus CRDs untuk kustom APIs yang ditentukan oleh ResourceGraphDefinitions.
Pemilu Pemimpin:
+ Membuat dan membaca sewa koordinasi untuk pemilihan pimpinan.
+ Perbarui dan hapus sewa pengontrol kro.
Manajemen Acara:
+ Membuat dan menambal acara untuk operasi kro.
Kebijakan ini dirancang untuk mendukung komposisi sumber daya yang komprehensif dan manajemen API kustom melalui kro. Amazon EKS secara otomatis membuat entri akses dengan kebijakan akses ini untuk peran IAM kemampuan yang Anda berikan saat kemampuan kro dibuat.
| Grup API Kubernetes | Sumber daya Kubernetes | Kata kerja Kubernetes (izin) |
| --- | --- | --- |
| `kro.run` | `*` | `*` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases`(hanya sewa pengontrol kro) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
## Akses pembaruan kebijakan
Lihat detail tentang pembaruan untuk mengakses kebijakan, sejak diperkenalkan. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di. [Riwayat dokumen](doc-history.md)
| Ubah | Deskripsi | Date |
| --- | --- | --- |
| Tambahkan kebijakan untuk Kemampuan EKS | Publikasikan `AmazonEKSACKPolicy``AmazonEKSArgoCDClusterPolicy`,`AmazonEKSArgoCDPolicy`,, dan `AmazonEKSKROPolicy` untuk mengelola Kemampuan EKS | November 22, 2025 |
| Menambahkan `AmazonEKSSecretReaderPolicy` | Menambahkan kebijakan baru untuk akses read-only ke rahasia | November 6, 2025 |
| Tambahkan kebijakan untuk EKS Cluster Insights | Publikasikan `AmazonEKSClusterInsightsPolicy` | Desember 2, 2024 |
| Tambahkan kebijakan untuk Amazon EKS Hybrid | Publikasikan `AmazonEKSHybridPolicy` | Desember 2, 2024 |
| Tambahkan kebijakan untuk Mode Otomatis Amazon EKS | Kebijakan akses ini memberikan izin kepada Peran IAM Cluster dan Peran IAM Node untuk memanggil Kubernetes. APIs AWS menggunakan ini untuk mengotomatiskan tugas-tugas rutin untuk penyimpanan, komputasi, dan sumber daya jaringan. | Desember 2, 2024 |
| Menambahkan `AmazonEKSAdminViewPolicy` | Tambahkan kebijakan baru untuk akses tampilan yang diperluas, termasuk sumber daya seperti Rahasia. | April 23, 2024 |
| Kebijakan akses diperkenalkan. | Amazon EKS memperkenalkan kebijakan akses. | 29 Mei 2023 |