**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perbarui kontrol organisasi untuk Mode Otomatis EKS
<a name="auto-controls"></a>

Beberapa kontrol organisasi dapat mencegah Mode Otomatis EKS berfungsi dengan benar. Jika demikian, Anda harus memperbarui kontrol ini agar Mode Otomatis EKS memiliki izin yang diperlukan untuk mengelola instans EC2 atas nama Anda.

Mode Otomatis EKS menggunakan peran layanan untuk meluncurkan Instans EC2 yang mendukung Node Mode Otomatis EKS. Peran layanan adalah peran [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang dibuat di akun Anda yang diasumsikan oleh layanan untuk melakukan tindakan atas nama Anda. [Kebijakan Kontrol Layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP) selalu berlaku untuk tindakan yang dilakukan dengan peran layanan. Hal ini memungkinkan SCP untuk menghambat operasi Mode Otomatis. Kejadian yang paling umum adalah ketika SCP digunakan untuk membatasi Amazon Machine Images (AMI) yang dapat diluncurkan. Untuk memungkinkan Mode Otomatis EKS berfungsi, ubah SCP untuk mengizinkan peluncuran AMI dari akun Mode Otomatis EKS.

Anda juga dapat menggunakan fitur [EC2 Allowed AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) untuk membatasi visibilitas AMI di akun lain. Jika Anda menggunakan fitur ini, Anda harus memperluas kriteria gambar untuk juga menyertakan akun AMI Mode Otomatis EKS di wilayah yang diminati.

## Contoh SCP untuk memblokir semua AMI kecuali untuk EKS Auto Mode AMI
<a name="_example_scp_to_block_all_amis_except_for_eks_auto_mode_amis"></a>

SCP di bawah ini mencegah panggilan `ec2:RunInstances` kecuali AMI milik akun AMI Mode Otomatis EKS untuk us-west-2 atau us-east-1.

**catatan**  
Penting untuk **tidak** menggunakan kunci `ec2:Owner` konteks. Amazon memiliki akun AMI Mode Otomatis EKS dan nilai untuk kunci ini akan `amazon` selalu ada. Membangun SCP yang memungkinkan peluncuran AMI jika `ec2:Owner` IS `amazon` akan memungkinkan peluncuran AMI milik Amazon, bukan hanya untuk Mode Otomatis EKS.

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}
```

## Akun AMI Mode Otomatis EKS
<a name="_eks_auto_mode_ami_accounts"></a>

 AWS akun yang bervariasi menurut wilayah host EKS Auto Mode AMI publik.


|  |  | 
| --- |--- |
|  AWS Wilayah | Akun | 
| af-south-1 | 471112993317 | 
| ap-east-1 | 590183728416 | 
| ap-timur-2 | 381492200852 | 
| ap-northeast-1 | 851725346105 | 
| ap-northeast-2 | 992382805010 | 
| ap-northeast-3 | 891377407544 | 
| ap-south-1 | 975049899075 | 
| ap-south-2 | 590183737426 | 
| ap-southeast-1 | 339712723301 | 
| ap-southeast-2 | 058264376476 | 
| ap-southeast-3 | 471112941769 | 
| ap-southeast-4 | 590183863144 | 
| ap-southeast-5 | 654654202513 | 
| ap-tenggara 6 | 905418310314 | 
| ap-tenggara 7 | 533267217478 | 
| ca-central-1 | 992382439851 | 
| ca-west-1 | 767397959864 | 
| eu-central-1 | 891376953411 | 
| eu-central-2 | 381492036002 | 
| eu-north-1 | 339712696471 | 
| eu-south-1 | 975049955519 | 
| eu-south-2 | 471112620929 | 
| eu-west-1 | 381492008532 | 
| eu-west-2 | 590184142468 | 
| eu-west-3 | 891376969258 | 
| il-central-1 | 590183797093 | 
| me-central-1 | 637423494195 | 
| me-south-1 | 905418070398 | 
| mx-pusat-1 | 211125506622 | 
| sa-east-1 | 339712709251 | 
| us-east-1 | 992382739861 | 
| us-east-2 | 975050179949 | 
| us-west-1 | 975050035094 | 
| us-west-2 | 767397842682 | 
| us-gov-east-1 | 446077414359 | 
| us-gov-west-1 | 446098668741 | 

## Alamat IP Publik Asosiasi
<a name="_associate_public_ip_address"></a>

Kapan `ec2:RunInstances` dipanggil `AssociatePublicIpAddress` bidang untuk peluncuran instance ditentukan secara otomatis oleh jenis subnet tempat instance diluncurkan. SCP dapat digunakan untuk menegakkan bahwa nilai ini secara eksplisit disetel ke false, terlepas dari jenis subnet yang diluncurkan. Dalam hal ini NodeClass bidang juga `spec.advancedNetworking.associatePublicIPAddress` dapat diatur ke false untuk memenuhi persyaratan SCP.

```
  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }
```