View a markdown version of this page

Rivedere le autorizzazioni della policy di accesso - Amazon EKS
Elencare tutte le policyAmazonEKSAdminPolicyAmazonEKSClusterAdminPolicyAmazonEKSAdminViewPolicyAmazonEKSEditPolicyAmazonEKSViewPolicyAmazonEKSSecretReaderPolicyAmazonEKSAutoNodePolicyAmazonEKSBlockStoragePolicyAmazonEKSLoadBalancingPolicyAmazonEKSNetworkingPolicyAmazonEKSComputePolicyAmazonEKSBlockStorageClusterPolicyAmazonEKSComputeClusterPolicyAmazonEKSLoadBalancingClusterPolicyAmazonEKSNetworkingClusterPolicyAmazonEKSHybridPolicyAmazonEKSClusterInsightsPolicyAWSBackupFullAccessPolicyForBackupAWSBackupFullAccessPolicyForRestorePolitica di Amazon EksackAmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicyPolitica di Amazon EKS KROAggiornamenti della policy di accesso

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rivedere le autorizzazioni della policy di accesso

Le policy di accesso includono rules che contengono verbs di Kubernetes (autorizzazioni) e resources. Le policy di accesso non includono le autorizzazioni o le risorse IAM. Analogamente agli oggetti Role e ClusterRole di Kubernetes, le policy di accesso includono solo allow rules. Non puoi modificare il contenuto di una policy di accesso. Non puoi creare policy di accesso personalizzate. Se le autorizzazioni nelle policy di accesso non soddisfano le tue esigenze, crea oggetti RBAC di Kubernetes e specificare nomi dei gruppi per le voci di accesso. Per ulteriori informazioni, consulta Creare voci di accesso. Le autorizzazioni contenute nelle policy di accesso sono simili a quelle nei ruoli del cluster rivolti agli utenti di Kubernetes. Per ulteriori informazioni, consulta User-facing i ruoli nella documentazione di Kubernetes.

Elencare tutte le policy

Utilizza una delle politiche di accesso elencate in questa pagina o recupera un elenco di tutte le politiche di accesso disponibili utilizzando la AWS CLI:

aws eks list-access-policies

L’output previsto dovrebbe essere simile al seguente (abbreviato per brevità):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

Questa policy di accesso include autorizzazioni che concedono a un principale IAM la maggior parte delle autorizzazioni per le risorse. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere uno o più namespace di Kubernetes. Se invece desideri che un principale IAM disponga dell’accesso di amministratore a tutte le risorse del cluster, allora associa la policy di accesso AmazonEKSClusterAdminPolicy alla voce di accesso.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get, list, watch

AmazonEKSClusterAdminPolicy

Questa policy di accesso include le autorizzazioni che concedono a un principale IAM l’accesso di amministratore per un cluster. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere il cluster, anziché un namespace di Kubernetes. Se desideri che un principale IAM abbia un ambito amministrativo più limitato, valuta invece la possibilità di associare la policy di accesso AmazonEKSAdminPolicy alla voce di accesso.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Gruppi di API Kubernetes nonResourceURLs di Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

*

*

*

AmazonEKSAdminViewPolicy

Questa politica di accesso include le autorizzazioni che garantiscono l'accesso principale IAM a list/view tutte le risorse di un cluster. Questo include Kubernetes Secrets.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

get, list, watch

AmazonEKSEditPolicy

Questa policy di accesso include autorizzazioni che consentono a un principale IAM di modificare la maggior parte delle risorse di Kubernetes.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

AmazonEKSViewPolicy

Questa policy di accesso include autorizzazioni che consentono a un principale IAM di visualizzare la maggior parte delle risorse di Kubernetes.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get, list, watch

AmazonEKSSecretReaderPolicy

Questa politica di accesso include autorizzazioni che consentono a un principale IAM di leggere Kubernetes Secrets.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

secrets

get, list, watch

AmazonEKSAutoNodePolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Questa policy include le seguenti autorizzazioni che consentono ai componenti di Amazon EKS di completare le attività seguenti:

  • kube-proxy: monitorare gli endpoint e i servizi di rete e gestire gli eventi correlati. Ciò consente la funzionalità proxy di rete a livello di cluster.

  • ipamd— Gestione delle risorse di rete AWS VPC e delle interfacce di rete per container (CNI). Ciò consente al daemon di gestione degli indirizzi IP di gestire il networking dei pod.

  • coredns: accedere a risorse di rilevamento servizi come endpoint e servizi. Ciò consente la risoluzione DNS all’interno del cluster.

  • ebs-csi-driver: lavorare con risorse relative all’archiviazione per i volumi Amazon EBS. Ciò consente il provisioning e il collegamento dinamico di volumi persistenti.

  • neuron— Monitora nodi e pod per i dispositivi Neuron. AWS Ciò consente la gestione degli acceleratori AWS Inferentia e Trainium.

  • node-monitoring-agent: accedere alla diagnostica dei nodi e agli eventi. Ciò consente il monitoraggio dell’integrità del cluster e la raccolta della diagnostica.

Ogni componente utilizza un account di servizio dedicato ed è limitato alle sole autorizzazioni necessarie per la sua funzione specifica.

Se specifichi manualmente un ruolo Node IAM in a NodeClass, devi creare un Access Entry che associ il nuovo ruolo Node IAM a questa policy di accesso.

AmazonEKSBlockStoragePolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per l’elezione e il coordinamento dei leader per le operazioni di archiviazione:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di archiviazione EKS di coordinare le proprie attività all’interno del cluster attraverso un meccanismo di elezione dei leader.

La policy si applica a specifiche risorse di leasing utilizzate dai componenti di archiviazione EKS per prevenire conflitti di accesso ad altre risorse di coordinamento del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di storage a blocchi.

AmazonEKSLoadBalancingPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per le elezioni per i leader per il bilanciamento del carico:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di bilanciamento del carico EKS di coordinare le attività su più repliche eleggendo un leader.

La policy riguarda specificamente il bilanciamento del carico delle risorse di leasing per garantire un coordinamento adeguato impedendo al contempo l’accesso ad altre risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSNetworkingPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per le elezioni dei leader per le reti:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di rete EKS di coordinare le attività di allocazione degli indirizzi IP eleggendo un leader.

La policy riguarda specificamente le reti delle risorse di leasing per garantire un coordinamento adeguato impedendo al contempo l’accesso ad altre risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSComputePolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati al servizio e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per l’elezione dei leader per le operazioni di elaborazione:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di elaborazione EKS di coordinare le attività di scalabilità dei nodi eleggendo un leader.

La policy riguarda specificamente la gestione delle risorse di elaborazione in leasing e consente al contempo l’accesso di base in lettura (get, watch) a tutte le risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di gestione di elaborazione.

AmazonEKSBlockStorageClusterPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati al servizio e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di storage a blocchi della modalità automatica di Amazon EKS. Consente una gestione efficiente delle risorse di archiviazione a blocchi all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione del driver CSI:

  • Creare, leggere, aggiornare ed eliminare i driver CSI, in particolare per l’archiviazione a blocchi.

Gestione dei volumi:

  • Elencare, guardare, creare, aggiornare, applicare patch ed eliminare i volumi persistenti.

  • Elencare, guardare e aggiornare le dichiarazioni di volume persistenti.

  • Applicare patch agli stati di dichiarazione di volume persistente.

Interazione tra nodi e pod:

  • Leggere le informazioni su nodi e pod.

  • Gestire gli eventi relativi alle operazioni di archiviazione.

Classi e attributi di archiviazione:

  • Leggere le classi di archiviazione e i nodi CSI.

  • Leggere le classi di attributi del volume.

Allegati dei volumi:

  • Elencare, guardare e modificare gli allegati del volume e il relativo stato.

Operazioni di snapshot:

  • Gestire snapshot di volume, contenuti di snapshot e classi di snapshot.

  • Gestire le operazioni per gli snapshot dei gruppi di volumi e le risorse correlate.

Questa policy è progettata per supportare la gestione completa dell’archiviazione a blocchi all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui il provisioning, il collegamento, il ridimensionamento e la creazione di snapshot di volumi di archiviazione a blocchi.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di storage a blocchi.

AmazonEKSComputeClusterPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati al servizio e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di gestione dell’elaborazione della modalità automatica di Amazon EKS. Consente l’orchestrazione e la scalabilità efficienti delle risorse di elaborazione all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione dei nodi:

  • Crea, leggi, aggiorna, elimina e gestisci lo stato di e. NodePools NodeClaims

  • Gestione NodeClasses, inclusa la creazione, la modifica e l'eliminazione.

Pianificazione e gestione delle risorse:

  • Accesso in lettura a pod, nodi, volumi persistenti, attestazioni di volume persistenti, controller di replica e namespace.

  • Accesso in lettura alle classi di archiviazione, ai nodi CSI e agli allegati dei volumi.

  • Elencare e controllare implementazioni, set di daemon, set di repliche e set stateful.

  • Leggere i budget di interruzione dei pod.

Gestione degli eventi:

  • Creare, leggere e gestire gli eventi del cluster.

Revoca del provisioning dei nodi ed espulsione dei pod:

  • Aggiornare, applicare patch ed eliminare i nodi.

  • Creare espulsioni dei pod ed eliminarli quando necessario.

Gestione di definizione di risorse personalizzate (CRD):

  • Creare nuove CRD.

  • Gestisci CRD specifici relativi alla gestione dei nodi (NodeClasses, NodePools NodeClaims, e NodeDiagnostics).

Questa policy è progettata per supportare la gestione completa dell’elaborazione all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui il provisioning dei nodi, la pianificazione, la scalabilità e l’ottimizzazione delle risorse.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di gestione di elaborazione.

AmazonEKSLoadBalancingClusterPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di bilanciamento del carico della modalità automatica di Amazon EKS. Consente una configurazione e una gestione efficiente delle risorse di bilanciamento del carico all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione di eventi e risorse:

  • Creare e applicare patch agli eventi.

  • Accesso in lettura a pod, nodi, endpoint e namespace.

  • Aggiornare gli stati dei pod.

Gestione dei servizi e degli ingressi:

  • Gestione completa dei servizi e dei relativi stati.

  • Controllo completo sugli ingressi e sui relativi stati.

  • Accesso in lettura alle sezioni degli endpoint e alle classi di ingresso.

Associazioni per gruppi di destinazione:

  • Creare e modificare le associazioni per gruppi di destinazione e i relativi stati.

  • Accesso in lettura ai parametri della classe di ingresso.

Gestione di definizione di risorse personalizzate (CRD):

  • Creare e leggere tutte le CRD.

  • Gestione specifica delle CRD targetgroupbindings.eks.amazonaws.com e ingressclassparams.eks.amazonaws.com.

Configurazione Webhook:

  • Creare e leggere configurazioni webhook mutanti e convalidanti.

  • Gestire la configurazione eks-load-balancing-webhook.

Questa policy è progettata per supportare la gestione completa del bilanciamento del carico all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui l'esposizione dei servizi, il routing in ingresso e l'integrazione con AWS i servizi di bilanciamento del carico.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di bilanciamento del carico.

AmazonEKSNetworkingClusterPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di rete della modalità automatica di Amazon EKS. Consente una configurazione e una gestione efficiente delle risorse di rete all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione di nodi e pod:

  • Leggi gli accessi e i relativi stati NodeClasses .

  • Leggi gli accessi NodeClaims e i relativi stati.

  • Accesso in lettura ai pod.

Gestione dei nodi CNI:

  • Autorizzazioni per CNINodes e relativi stati, tra cui creazione, lettura, aggiornamento, eliminazione e applicazione di patch.

Gestione di definizione di risorse personalizzate (CRD):

  • Creare e leggere tutte le CRD.

  • Gestione specifica (aggiornamento, applicazione di patch, eliminazione) della CRD cninodes.eks.amazonaws.com.

Gestione degli eventi:

  • Creare e applicare patch agli eventi.

Questa policy è progettata per supportare la gestione completa della rete all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui la configurazione di rete dei nodi, la gestione della CNI (Container Network Interface) e la relativa gestione personalizzata delle risorse.

La policy consente ai componenti di rete di interagire con le risorse relative ai nodi, gestire le configurazioni dei CNI-specific nodi e gestire le risorse personalizzate fondamentali per le operazioni di rete nel cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSHybridPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con ruoli gestiti dal cliente.

Questa policy di accesso include le autorizzazioni che concedono a EKS l’accesso di EKS ai nodi di un cluster. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere il cluster, anziché un namespace di Kubernetes. Questa policy viene utilizzata da Amazon EKS Hybrid Nodes.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Gruppi di API Kubernetes nonResourceURLs di Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

nodes

list

AmazonEKSClusterInsightsPolicy

Nota

Questa politica è destinata solo ai ruoli AWS collegati al servizio e non può essere utilizzata con ruoli gestiti dal cliente.

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Questa policy concede le autorizzazioni di sola lettura alla funzionalità di approfondimenti del cluster di Amazon EKS. La policy include le seguenti autorizzazioni:

Accesso ai nodi: - Elencare e visualizzare i nodi del cluster - Leggere le informazioni sullo stato dei nodi

DaemonSet Accesso: - Accesso in lettura alla configurazione kube-proxy

Questa policy viene gestita automaticamente dal servizio EKS per gli approfondimenti del cluster. Per ulteriori informazioni, consulta Prepararsi agli aggiornamenti delle versioni di Kubernetes e risolvere i problemi di configurazione errata con gli approfondimenti sui cluster.

AWSBackupFullAccessPolicyForBackup

ARN: arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

Questa politica concede le autorizzazioni necessarie a AWS Backup per gestire e creare backup del cluster EKS. Questa policy include le seguenti autorizzazioni:

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

list, get

AWSBackupFullAccessPolicyForRestore

ARN: arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

Questa politica concede le autorizzazioni necessarie a AWS Backup per gestire e ripristinare i backup del cluster EKS. Questa policy include le seguenti autorizzazioni:

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

list, get, create

rbac.authorization.k8s.io

roles, clusterroles

create, update, escalate

Politica di Amazon Eksack

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy

Questa politica concede le autorizzazioni necessarie per consentire ai AWS Controllers for Kubernetes (ACK) di gestire le risorse di Kubernetes. AWS La policy include le seguenti autorizzazioni:

Gestione personalizzata delle risorse ACK:

  • Accesso completo a tutte le risorse personalizzate del servizio ACK su oltre 50 AWS servizi tra cui S3, RDS, DynamoDB, Lambda, EC2 e altri.

  • Crea, leggi, aggiorna ed elimina le definizioni delle risorse personalizzate ACK.

Accesso al namespace:

  • Accesso in lettura ai namespace per l'organizzazione delle risorse.

Elezione del leader:

  • Crea e leggi i contratti di coordinamento per l'elezione del leader.

  • Aggiorna ed elimina i leasing specifici dei controller di servizio ACK.

Gestione degli eventi:

  • Crea e correggi eventi per le operazioni ACK.

Questa policy è progettata per supportare la gestione completa AWS delle risorse tramite le API Kubernetes. Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per la funzionalità (ruolo IAM) che fornisci quando viene creata la funzionalità ACK.

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

namespaces

get, watch, list

services.k8s.aws, acm.services.k8s.aws, acmpca.services.k8s.aws, apigateway.services.k8s.aws, apigatewayv2.services.k8s.aws, applicationautoscaling.services.k8s.aws, athena.services.k8s.aws, bedrock.services.k8s.aws, bedrockagent.services.k8s.aws, bedrockagentcorecontrol.services.k8s.aws, cloudfront.services.k8s.aws, cloudtrail.services.k8s.aws, cloudwatch.services.k8s.aws, cloudwatchlogs.services.k8s.aws, codeartifact.services.k8s.aws, cognitoidentityprovider.services.k8s.aws, documentdb.services.k8s.aws, dynamodb.services.k8s.aws, ec2.services.k8s.aws, ecr.services.k8s.aws, ecrpublic.services.k8s.aws, ecs.services.k8s.aws, efs.services.k8s.aws, eks.services.k8s.aws, elasticache.services.k8s.aws, elbv2.services.k8s.aws, emrcontainers.services.k8s.aws, eventbridge.services.k8s.aws, iam.services.k8s.aws, kafka.services.k8s.aws, keyspaces.services.k8s.aws, kinesis.services.k8s.aws, kms.services.k8s.aws, lambda.services.k8s.aws, memorydb.services.k8s.aws, mq.services.k8s.aws, networkfirewall.services.k8s.aws, opensearchservice.services.k8s.aws, organizations.services.k8s.aws, pipes.services.k8s.aws, prometheusservice.services.k8s.aws, ram.services.k8s.aws, rds.services.k8s.aws, recyclebin.services.k8s.aws, route53.services.k8s.aws, route53resolver.services.k8s.aws, s3.services.k8s.aws, s3control.services.k8s.aws, sagemaker.services.k8s.aws, secretsmanager.services.k8s.aws, ses.services.k8s.aws, sfn.services.k8s.aws, sns.services.k8s.aws, sqs.services.k8s.aws, ssm.services.k8s.aws, wafv2.services.k8s.aws

*

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(solo leasing di controller di servizio ACK specifici)

delete, update, patch

events

create, patch

apiextensions.k8s.io

customresourcedefinitions

*

AmazonEKSArgoCDClusterPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

Questa politica concede le autorizzazioni a livello di cluster necessarie per consentire alla funzionalità di Argo CD di scoprire risorse e gestire oggetti con ambito cluster. La policy include le seguenti autorizzazioni:

Gestione del namespace:

  • Crea, leggi, aggiorna ed elimina i namespace per la gestione dei namespace delle applicazioni.

Gestione personalizzata delle definizioni delle risorse:

  • Gestisci Argo CD-specific CRD (applicazioni, AppProjects, ApplicationSets).

Scoperta delle API:

  • Accesso in lettura agli endpoint dell'API Kubernetes per l'individuazione delle risorse.

Questa policy è progettata per supportare le operazioni Argo CD a livello di cluster, tra cui la gestione dei namespace e l'installazione di CRD. Amazon EKS crea automaticamente una voce di accesso con questa politica di accesso per la funzionalità (ruolo IAM) che fornisci quando viene creata la funzionalità Argo CD.

Gruppi di API Kubernetes nonResourceURLs di Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

namespaces

create, get, update, patch, delete

apiextensions.k8s.io

customresourcedefinitions

create

apiextensions.k8s.io

customresourcedefinitions(Solo CD CD Argo)

get, update, patch, delete

/api, /api/*, /apis, /apis/*

get

AmazonEKSArgoCDPolicy

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

Questa politica concede le autorizzazioni a livello di namespace necessarie per consentire alla funzionalità di Argo CD di distribuire e gestire le applicazioni. La policy include le seguenti autorizzazioni:

Gestione segreta:

  • Accesso completo ai segreti per le credenziali Git e i segreti del cluster.

ConfigMap Accesso:

  • Accesso in lettura per ConfigMaps inviare avvisi se i clienti tentano di utilizzare un CD Argo non supportato. ConfigMaps

Gestione degli eventi:

  • Leggi e crea eventi per il monitoraggio del ciclo di vita delle applicazioni.

Gestione delle risorse Argo CD:

  • Accesso completo alle applicazioni ApplicationSets, e AppProjects.

  • Gestisci i finalizzatori e lo stato delle risorse Argo CD.

Questa policy è progettata per supportare le operazioni di Argo CD a livello di namespace, tra cui la distribuzione e la gestione delle applicazioni. Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per la funzionalità (ruolo IAM) che fornisci al momento della creazione della funzionalità Argo CD, nell'ambito dello spazio dei nomi Argo CD.

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

secrets

*

configmaps

get, list, watch

events

get, list, watch, patch, create

argoproj.io

applications, applications/finalizers, applications/status, applicationsets, applicationsets/finalizers, applicationsets/status, appprojects, appprojects/finalizers, appprojects/status

*

Politica di Amazon EKS KRO

ARN: arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy

Questa politica concede le autorizzazioni necessarie per la capacità kro (Kube Resource Orchestrator) di creare e gestire API Kubernetes personalizzate. La policy include le seguenti autorizzazioni:

Gestione delle risorse kro:

  • Accesso completo a tutte le risorse kro, comprese le istanze ResourceGraphDefinitions di risorse personalizzate.

Gestione personalizzata della definizione delle risorse:

  • Crea, leggi, aggiorna ed elimina i CRD per le API personalizzate definite da. ResourceGraphDefinitions

Elezione del leader:

  • Crea e leggi i contratti di coordinamento per l'elezione del leader.

  • Aggiorna ed elimina il contratto di locazione del controller kro.

Gestione degli eventi:

  • Crea e correggi eventi per le operazioni kro.

Questa politica è progettata per supportare la composizione completa delle risorse e la gestione personalizzata delle API tramite kro. Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per la funzionalità (ruolo IAM) che fornisci quando viene creata la funzionalità kro.

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

kro.run

*

*

apiextensions.k8s.io

customresourcedefinitions

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(solo controller kro lease)

delete, update, patch

events

create, patch

Aggiornamenti della policy di accesso

Visualizza i dettagli sugli aggiornamenti alle policy di accesso, da quando sono stati introdotti. Per gli avvisi automatici sulle modifiche apportate a questa pagina, iscriviti al feed RSS in Cronologia dei documenti.

Modifica Descrizione Data

Aggiungi politiche per EKS Capabilities

PubblicaAmazonEKSACKPolicy, AmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicy, e AmazonEKSKROPolicy per la gestione delle funzionalità EKS

22 novembre 2025

Add AmazonEKSSecretReaderPolicy

Aggiungi una nuova politica per l'accesso in sola lettura ai segreti

6 novembre 2025

Aggiungi una policy per gli approfondimenti sui cluster di EKS

Pubblica AmazonEKSClusterInsightsPolicy

2 dicembre 2024

Aggiungi policy per Amazon EKS Hybrid

Pubblica AmazonEKSHybridPolicy

2 dicembre 2024

Aggiungi policy per la modalità automatica di Amazon EKS

Queste policy di accesso autorizzano Cluster IAM Role e Node IAM Role a chiamare le API Kubernetes. AWS le utilizza per automatizzare le attività di routine per le risorse di archiviazione, elaborazione e rete.

2 dicembre 2024

Add AmazonEKSAdminViewPolicy

Aggiungi una nuova policy per un accesso esteso alle visualizzazioni, incluse risorse come Secrets.

23 aprile 2024

Policy di accesso introdotte.

Amazon EKS ha introdotto policy di accesso.

29 maggio 2023