Rivedere le autorizzazioni della policy di accesso - Amazon EKS
Elencare tutte le policyEKSAdminPolitica di AmazonAmazon EKSCluster AdminPolicyAmazon EKSAdmin ViewPolicyEKSEditPolitica di AmazonEKSViewPolitica di AmazonAmazon EKSSecret ReaderPolicyAmazon EKSAuto NodePolicyAmazon EKSBlock StoragePolicyAmazon EKSLoad BalancingPolicyEKSNetworkingPolitica di AmazonEKSComputePolitica di AmazonAmazon EKSBlock StorageClusterPolicyAmazon EKSCompute ClusterPolicyAmazon EKSLoad BalancingClusterPolicyAmazon EKSNetworking ClusterPolicyEKSHybridPolitica di AmazonAmazon EKSCluster InsightsPolicyAWSBackupFullAccessPolicyForBackupAWSBackupFullAccessPolicyForRestoreAmazon EKSACKPolicyEKSArgoCDClusterPolitica di AmazonAmazon EKSArgo CDPolicyAmazon EKSKROPolicyAggiornamenti della policy di accesso

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rivedere le autorizzazioni della policy di accesso

Le policy di accesso includono rules che contengono verbs di Kubernetes (autorizzazioni) e resources. Le policy di accesso non includono le autorizzazioni o le risorse IAM. Analogamente agli oggetti Role e ClusterRole di Kubernetes, le policy di accesso includono solo allow rules. Non puoi modificare il contenuto di una policy di accesso. Non puoi creare policy di accesso personalizzate. Se le autorizzazioni nelle policy di accesso non soddisfano le tue esigenze, crea oggetti RBAC di Kubernetes e specificare nomi dei gruppi per le voci di accesso. Per ulteriori informazioni, consulta Creare voci di accesso. Le autorizzazioni contenute nelle policy di accesso sono simili a quelle nei ruoli del cluster rivolti agli utenti di Kubernetes. Per ulteriori informazioni, consulta User-facing roles nella documentazione di Kubernetes.

Elencare tutte le policy

Utilizza una delle politiche di accesso elencate in questa pagina o recupera un elenco di tutte le politiche di accesso disponibili utilizzando la AWS CLI:

aws eks list-access-policies

L’output previsto dovrebbe essere simile al seguente (abbreviato per brevità):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

EKSAdminPolitica di Amazon

Questa policy di accesso include autorizzazioni che concedono a un principale IAM la maggior parte delle autorizzazioni per le risorse. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere uno o più namespace di Kubernetes. Se invece desideri che un principale IAM disponga dell’accesso di amministratore a tutte le risorse del cluster, allora associa la policy di accesso Amazon EKSCluster AdminPolicy alla voce di accesso.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get,list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get,list, watch

Amazon EKSCluster AdminPolicy

Questa policy di accesso include le autorizzazioni che concedono a un principale IAM l’accesso di amministratore per un cluster. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere il cluster, anziché un namespace di Kubernetes. Se desideri che un principale IAM abbia un ambito amministrativo più limitato, valuta invece la possibilità di associare la policy di accesso EKSAdminPolitica di Amazon alla voce di accesso.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Gruppi di API Kubernetes Kubernetes NonResource URLs Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

*

*

*

Amazon EKSAdmin ViewPolicy

Questa politica di accesso include autorizzazioni che garantiscono un accesso principale IAM a list/view tutte le risorse di un cluster. Questo include Kubernetes Secrets.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

get, list, watch

EKSEditPolitica di Amazon

Questa policy di accesso include autorizzazioni che consentono a un principale IAM di modificare la maggior parte delle risorse di Kubernetes.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

EKSViewPolitica di Amazon

Questa policy di accesso include autorizzazioni che consentono a un principale IAM di visualizzare la maggior parte delle risorse di Kubernetes.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get, list, watch

Amazon EKSSecret ReaderPolicy

Questa politica di accesso include autorizzazioni che consentono a un preside IAM di leggere Kubernetes Secrets.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

secrets

get, list, watch

Amazon EKSAuto NodePolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Questa policy include le seguenti autorizzazioni che consentono ai componenti di Amazon EKS di completare le attività seguenti:

  • kube-proxy: monitorare gli endpoint e i servizi di rete e gestire gli eventi correlati. Ciò consente la funzionalità proxy di rete a livello di cluster.

  • ipamd— Gestione delle risorse di rete AWS VPC e delle interfacce di rete per container (CNI). Ciò consente al daemon di gestione degli indirizzi IP di gestire il networking dei pod.

  • coredns: accedere a risorse di rilevamento servizi come endpoint e servizi. Ciò consente la risoluzione DNS all’interno del cluster.

  • ebs-csi-driver: lavorare con risorse relative all’archiviazione per i volumi Amazon EBS. Ciò consente il provisioning e il collegamento dinamico di volumi persistenti.

  • neuron— Monitora nodi e pod per i dispositivi Neuron. AWS Ciò consente la gestione degli acceleratori AWS Inferentia e Trainium.

  • node-monitoring-agent: accedere alla diagnostica dei nodi e agli eventi. Ciò consente il monitoraggio dell’integrità del cluster e la raccolta della diagnostica.

Ogni componente utilizza un account di servizio dedicato ed è limitato alle sole autorizzazioni necessarie per la sua funzione specifica.

Se specifichi manualmente un ruolo Node IAM in a NodeClass, devi creare un Access Entry che associ il nuovo ruolo Node IAM a questa policy di accesso.

Amazon EKSBlock StoragePolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per l’elezione e il coordinamento dei leader per le operazioni di archiviazione:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di archiviazione EKS di coordinare le proprie attività all’interno del cluster attraverso un meccanismo di elezione dei leader.

La policy si applica a specifiche risorse di leasing utilizzate dai componenti di archiviazione EKS per prevenire conflitti di accesso ad altre risorse di coordinamento del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di storage a blocchi.

Amazon EKSLoad BalancingPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per le elezioni per i leader per il bilanciamento del carico:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di bilanciamento del carico EKS di coordinare le attività su più repliche eleggendo un leader.

La policy riguarda specificamente il bilanciamento del carico delle risorse di leasing per garantire un coordinamento adeguato impedendo al contempo l’accesso ad altre risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

EKSNetworkingPolitica di Amazon

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per le elezioni dei leader per le reti:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di rete EKS di coordinare le attività di allocazione degli indirizzi IP eleggendo un leader.

La policy riguarda specificamente le reti delle risorse di leasing per garantire un coordinamento adeguato impedendo al contempo l’accesso ad altre risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

EKSComputePolitica di Amazon

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per l’elezione dei leader per le operazioni di elaborazione:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di elaborazione EKS di coordinare le attività di scalabilità dei nodi eleggendo un leader.

La policy riguarda specificamente la gestione delle risorse di elaborazione in leasing e consente al contempo l’accesso di base in lettura (get, watch) a tutte le risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

Amazon EKSBlock StorageClusterPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di storage a blocchi della modalità automatica di Amazon EKS. Consente una gestione efficiente delle risorse di archiviazione a blocchi all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione del driver CSI:

  • Creare, leggere, aggiornare ed eliminare i driver CSI, in particolare per l’archiviazione a blocchi.

Gestione dei volumi:

  • Elencare, guardare, creare, aggiornare, applicare patch ed eliminare i volumi persistenti.

  • Elencare, guardare e aggiornare le dichiarazioni di volume persistenti.

  • Applicare patch agli stati di dichiarazione di volume persistente.

Interazione tra nodi e pod:

  • Leggere le informazioni su nodi e pod.

  • Gestire gli eventi relativi alle operazioni di archiviazione.

Classi e attributi di archiviazione:

  • Leggere le classi di archiviazione e i nodi CSI.

  • Leggere le classi di attributi del volume.

Allegati dei volumi:

  • Elencare, guardare e modificare gli allegati del volume e il relativo stato.

Operazioni di snapshot:

  • Gestire snapshot di volume, contenuti di snapshot e classi di snapshot.

  • Gestire le operazioni per gli snapshot dei gruppi di volumi e le risorse correlate.

Questa policy è progettata per supportare la gestione completa dell’archiviazione a blocchi all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui il provisioning, il collegamento, il ridimensionamento e la creazione di snapshot di volumi di archiviazione a blocchi.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di storage a blocchi.

Amazon EKSCompute ClusterPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di gestione dell’elaborazione della modalità automatica di Amazon EKS. Consente l’orchestrazione e la scalabilità efficienti delle risorse di elaborazione all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione dei nodi:

  • Crea, leggi, aggiorna, elimina e gestisci lo stato di e. NodePools NodeClaims

  • Gestione NodeClasses, inclusa la creazione, la modifica e l'eliminazione.

Pianificazione e gestione delle risorse:

  • Accesso in lettura a pod, nodi, volumi persistenti, attestazioni di volume persistenti, controller di replica e namespace.

  • Accesso in lettura alle classi di archiviazione, ai nodi CSI e agli allegati dei volumi.

  • Elencare e controllare implementazioni, set di daemon, set di repliche e set stateful.

  • Leggere i budget di interruzione dei pod.

Gestione degli eventi:

  • Creare, leggere e gestire gli eventi del cluster.

Revoca del provisioning dei nodi ed espulsione dei pod:

  • Aggiornare, applicare patch ed eliminare i nodi.

  • Creare espulsioni dei pod ed eliminarli quando necessario.

Gestione di definizione di risorse personalizzate (CRD):

  • Crea nuovo CRDs.

  • Gestisci specifiche CRDs relative alla gestione dei nodi (NodeClasses NodePools, NodeClaims, e NodeDiagnostics).

Questa policy è progettata per supportare la gestione completa dell’elaborazione all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui il provisioning dei nodi, la pianificazione, la scalabilità e l’ottimizzazione delle risorse.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di gestione di elaborazione.

Amazon EKSLoad BalancingClusterPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di bilanciamento del carico della modalità automatica di Amazon EKS. Consente una configurazione e una gestione efficiente delle risorse di bilanciamento del carico all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione di eventi e risorse:

  • Creare e applicare patch agli eventi.

  • Accesso in lettura a pod, nodi, endpoint e namespace.

  • Aggiornare gli stati dei pod.

Gestione dei servizi e degli ingressi:

  • Gestione completa dei servizi e dei relativi stati.

  • Controllo completo sugli ingressi e sui relativi stati.

  • Accesso in lettura alle sezioni degli endpoint e alle classi di ingresso.

Associazioni per gruppi di destinazione:

  • Creare e modificare le associazioni per gruppi di destinazione e i relativi stati.

  • Accesso in lettura ai parametri della classe di ingresso.

Gestione di definizione di risorse personalizzate (CRD):

  • Crea e leggi tutto CRDs.

  • Gestione specifica di targetgroupbindings.eks.amazonaws.com e ingressclassparams.eks.amazonaws.com. CRDs

Configurazione Webhook:

  • Creare e leggere configurazioni webhook mutanti e convalidanti.

  • eks-load-balancing-webhookGestisci la configurazione.

Questa policy è progettata per supportare la gestione completa del bilanciamento del carico all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui esposizione del servizio, routing in ingresso e integrazione con i servizi di bilanciamento AWS del carico.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di bilanciamento del carico.

Amazon EKSNetworking ClusterPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

Amazon EKSNetworking ClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di rete della modalità automatica di Amazon EKS. Consente una configurazione e una gestione efficiente delle risorse di rete all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione di nodi e pod:

  • Leggi gli accessi NodeClasses e i relativi stati.

  • Leggi gli accessi NodeClaims e i relativi stati.

  • Accesso in lettura ai pod.

Gestione dei nodi CNI:

  • Autorizzazioni CNINodes e relativi stati, tra cui creazione, lettura, aggiornamento, eliminazione e patch.

Gestione di definizione di risorse personalizzate (CRD):

  • Crea e leggi tutto. CRDs

  • Gestione specifica (aggiornamento, applicazione di patch, eliminazione) della CRD cninodes.eks.amazonaws.com.

Gestione degli eventi:

  • Creare e applicare patch agli eventi.

Questa policy è progettata per supportare la gestione completa della rete all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui la configurazione di rete dei nodi, la gestione della CNI (Container Network Interface) e la relativa gestione personalizzata delle risorse.

La policy consente ai componenti di rete di interagire con le risorse relative ai nodi, gestire le configurazioni dei nodi specifiche per CNI e gestire le risorse personalizzate fondamentali per le operazioni di rete nel cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

EKSHybridPolitica di Amazon

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

Questa policy di accesso include le autorizzazioni che concedono a EKS l’accesso di EKS ai nodi di un cluster. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere il cluster, anziché un namespace di Kubernetes. Questa policy viene utilizzata da Amazon EKS Hybrid Nodes.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Gruppi di API Kubernetes Kubernetes NonResource URLs Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

nodes

list

Amazon EKSCluster InsightsPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Questa policy concede le autorizzazioni di sola lettura alla funzionalità di approfondimenti del cluster di Amazon EKS. La policy include le seguenti autorizzazioni:

Accesso ai nodi: - Elencare e visualizzare i nodi del cluster - Leggere le informazioni sullo stato dei nodi

DaemonSet Accesso: - Accesso in lettura alla configurazione kube-proxy

Questa policy viene gestita automaticamente dal servizio EKS per gli approfondimenti del cluster. Per ulteriori informazioni, consulta Prepararsi agli aggiornamenti delle versioni di Kubernetes e risolvere i problemi di configurazione errata con gli approfondimenti sui cluster.

AWSBackupFullAccessPolicyForBackup

ARN: arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

Questa politica concede le autorizzazioni necessarie a AWS Backup per gestire e creare backup del cluster EKS. Questa policy include le seguenti autorizzazioni:

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

list, get

AWSBackupFullAccessPolicyForRestore

ARN: arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

Questa politica concede le autorizzazioni necessarie a AWS Backup per gestire e ripristinare i backup del cluster EKS. Questa policy include le seguenti autorizzazioni:

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

list, get, create

Amazon EKSACKPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy

Questa politica concede le autorizzazioni necessarie per consentire AWS ai Controllers for Kubernetes (ACK) di gestire le risorse di Kubernetes. AWS La policy include le seguenti autorizzazioni:

Gestione personalizzata delle risorse ACK:

  • Accesso completo a tutte le risorse personalizzate del servizio ACK su oltre 50 AWS servizi tra cui S3, RDS, DynamoDB, Lambda e altri. EC2

  • Crea, leggi, aggiorna ed elimina le definizioni di risorse personalizzate ACK.

Accesso al namespace:

  • Accesso in lettura ai namespace per l'organizzazione delle risorse.

Elezione del leader:

  • Crea e leggi i contratti di coordinamento per l'elezione del leader.

  • Aggiorna ed elimina i leasing specifici dei controller di servizio ACK.

Gestione degli eventi:

  • Crea e correggi eventi per le operazioni ACK.

Questa policy è progettata per supportare la gestione completa AWS delle risorse tramite Kubernetes APIs. Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per la funzionalità (ruolo IAM) che fornisci quando viene creata la funzionalità ACK.

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

namespaces

get, watch, list

services.k8s.aws, acm.services.k8s.aws, acmpca.services.k8s.aws, apigateway.services.k8s.aws, apigatewayv2.services.k8s.aws, applicationautoscaling.services.k8s.aws, athena.services.k8s.aws, bedrock.services.k8s.aws, bedrockagent.services.k8s.aws, bedrockagentcorecontrol.services.k8s.aws, cloudfront.services.k8s.aws, cloudtrail.services.k8s.aws, cloudwatch.services.k8s.aws, cloudwatchlogs.services.k8s.aws, codeartifact.services.k8s.aws, cognitoidentityprovider.services.k8s.aws, documentdb.services.k8s.aws, dynamodb.services.k8s.aws, ec2.services.k8s.aws, ecr.services.k8s.aws, ecrpublic.services.k8s.aws, ecs.services.k8s.aws, efs.services.k8s.aws, eks.services.k8s.aws, elasticache.services.k8s.aws, elbv2.services.k8s.aws, emrcontainers.services.k8s.aws, eventbridge.services.k8s.aws, iam.services.k8s.aws, kafka.services.k8s.aws, keyspaces.services.k8s.aws, kinesis.services.k8s.aws, kms.services.k8s.aws, lambda.services.k8s.aws, memorydb.services.k8s.aws, mq.services.k8s.aws, networkfirewall.services.k8s.aws, opensearchservice.services.k8s.aws, organizations.services.k8s.aws, pipes.services.k8s.aws, prometheusservice.services.k8s.aws, ram.services.k8s.aws, rds.services.k8s.aws, recyclebin.services.k8s.aws, route53.services.k8s.aws, route53resolver.services.k8s.aws, s3.services.k8s.aws, s3control.services.k8s.aws, sagemaker.services.k8s.aws, secretsmanager.services.k8s.aws, ses.services.k8s.aws, sfn.services.k8s.aws, sns.services.k8s.aws, sqs.services.k8s.aws, ssm.services.k8s.aws, wafv2.services.k8s.aws

*

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(solo leasing di controller di servizio ACK specifici)

delete, update, patch

events

create, patch

apiextensions.k8s.io

customresourcedefinitions

*

EKSArgoCDClusterPolitica di Amazon

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

Questa politica concede le autorizzazioni a livello di cluster necessarie per consentire alla funzionalità di Argo CD di scoprire risorse e gestire oggetti con ambito cluster. La policy include le seguenti autorizzazioni:

Gestione del namespace:

  • Crea, leggi, aggiorna ed elimina i namespace per la gestione dei namespace delle applicazioni.

Gestione personalizzata delle definizioni delle risorse:

  • Gestione di Argo CD specifici CRDs (applicazioni,, AppProjects). ApplicationSets

Scoperta delle API:

  • Accesso in lettura agli endpoint dell'API Kubernetes per l'individuazione delle risorse.

Questa policy è progettata per supportare le operazioni Argo CD a livello di cluster, tra cui la gestione dei namespace e l'installazione di CRD. Amazon EKS crea automaticamente una voce di accesso con questa politica di accesso per la funzionalità (ruolo IAM) che fornisci quando viene creata la funzionalità Argo CD.

Gruppi di API Kubernetes Kubernetes NonResource URLs Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

namespaces

create, get, update, patch, delete

apiextensions.k8s.io

customresourcedefinitions

create

apiextensions.k8s.io

customresourcedefinitions(Solo Argo CD) CRDs

get, update, patch, delete

/api, /api/*, /apis, /apis/*

get

Amazon EKSArgo CDPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

Questa politica concede le autorizzazioni a livello di namespace necessarie per consentire alla funzionalità di Argo CD di distribuire e gestire le applicazioni. La policy include le seguenti autorizzazioni:

Gestione segreta:

  • Accesso completo ai segreti per le credenziali Git e i segreti del cluster.

ConfigMap Accesso:

  • Accesso in lettura per ConfigMaps inviare avvisi se i clienti tentano di utilizzare un CD Argo non supportato. ConfigMaps

Gestione degli eventi:

  • Leggi e crea eventi per il monitoraggio del ciclo di vita delle applicazioni.

Gestione delle risorse Argo CD:

  • Accesso completo alle applicazioni ApplicationSets, e AppProjects.

  • Gestisci i finalizzatori e lo stato delle risorse Argo CD.

Questa policy è progettata per supportare le operazioni di Argo CD a livello di namespace, tra cui la distribuzione e la gestione delle applicazioni. Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per la funzionalità (ruolo IAM) che fornisci al momento della creazione della funzionalità Argo CD, nell'ambito dello spazio dei nomi Argo CD.

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

secrets

*

configmaps

get, list, watch

events

get, list, watch, patch, create

argoproj.io

applications, applications/finalizers, applications/status, applicationsets, applicationsets/finalizers, applicationsets/status, appprojects, appprojects/finalizers, appprojects/status

*

Amazon EKSKROPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy

Questa politica concede le autorizzazioni necessarie per consentire a kro (Kube Resource Orchestrator) di creare e gestire Kubernetes personalizzati. APIs La policy include le seguenti autorizzazioni:

Gestione delle risorse kro:

  • Accesso completo a tutte le risorse kro, comprese le istanze ResourceGraphDefinitions di risorse personalizzate.

Gestione personalizzata della definizione delle risorse:

  • Crea, leggi, aggiorna ed elimina CRDs per impostazioni personalizzate APIs definite da ResourceGraphDefinitions.

Elezione del leader:

  • Crea e leggi i contratti di coordinamento per l'elezione del leader.

  • Aggiorna ed elimina il contratto di locazione del controller kro.

Gestione degli eventi:

  • Crea e correggi eventi per le operazioni kro.

Questa politica è progettata per supportare la composizione completa delle risorse e la gestione personalizzata delle API tramite kro. Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per la funzionalità (ruolo IAM) che fornisci quando viene creata la funzionalità kro.

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

kro.run

*

*

apiextensions.k8s.io

customresourcedefinitions

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(solo controller kro lease)

delete, update, patch

events

create, patch

Aggiornamenti della policy di accesso

Visualizza i dettagli sugli aggiornamenti alle policy di accesso, da quando sono stati introdotti. Per gli avvisi automatici sulle modifiche apportate a questa pagina, iscriviti al feed RSS in Cronologia dei documenti.

Modifica Descrizione Data

Aggiungi politiche per EKS Capabilities

PubblicaAmazonEKSACKPolicy, AmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicy, e AmazonEKSKROPolicy per la gestione delle funzionalità EKS

22 novembre 2025

Add AmazonEKSSecretReaderPolicy

Aggiungi una nuova politica per l'accesso in sola lettura ai segreti

6 novembre 2025

Aggiungi una policy per gli approfondimenti sui cluster di EKS

Pubblica AmazonEKSClusterInsightsPolicy

2 dicembre 2024

Aggiungi policy per Amazon EKS Hybrid

Pubblica AmazonEKSHybridPolicy

2 dicembre 2024

Aggiungi policy per la modalità automatica di Amazon EKS

Queste policy di accesso autorizzano Cluster IAM Role e Node IAM Role a chiamare APIs Kubernetes. AWS li utilizza per automatizzare le attività di routine per le risorse di archiviazione, elaborazione e rete.

2 dicembre 2024

Add AmazonEKSAdminViewPolicy

Aggiungi una nuova policy per un accesso esteso alle visualizzazioni, incluse risorse come Secrets.

23 aprile 2024

Policy di accesso introdotte.

Amazon EKS ha introdotto policy di accesso.

29 maggio 2023