Rivedere le autorizzazioni della policy di accesso - Amazon EKS
Elencare tutte le policyAmazonEKSAdminPolicyAmazonEKSClusterAdminPolicyAmazonEKSAdminViewPolicyAmazonEKSEditPolicyAmazonEKSViewPolicyAmazonEKSAutoNodePolicyAmazonEKSBlockStoragePolicyAmazonEKSLoadBalancingPolicyAmazonEKSNetworkingPolicyAmazonEKSComputePolicyAmazonEKSBlockStorageClusterPolicyAmazonEKSComputeClusterPolicyAmazonEKSLoadBalancingClusterPolicyAmazonEKSNetworkingClusterPolicyAmazonEKSHybridPolicyAmazonEKSClusterInsightsPolicyAggiornamenti della policy di accesso

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Rivedere le autorizzazioni della policy di accesso

Le policy di accesso includono rules che contengono verbs di Kubernetes (autorizzazioni) e resources. Le policy di accesso non includono le autorizzazioni o le risorse IAM. Analogamente agli oggetti Role e ClusterRole di Kubernetes, le policy di accesso includono solo allow rules. Non puoi modificare il contenuto di una policy di accesso. Non puoi creare policy di accesso personalizzate. Se le autorizzazioni nelle policy di accesso non soddisfano le tue esigenze, crea oggetti RBAC di Kubernetes e specificare nomi dei gruppi per le voci di accesso. Per ulteriori informazioni, consulta Creare voci di accesso. Le autorizzazioni contenute nelle policy di accesso sono simili a quelle nei ruoli del cluster rivolti agli utenti di Kubernetes. Per ulteriori informazioni, consulta User-facing roles nella documentazione di Kubernetes.

Elencare tutte le policy

Utilizzare una delle policy di accesso elencate in questa pagina o recuperare un elenco di tutte le policy di accesso disponibili utilizzando AWS CLI:

aws eks list-access-policies

L’output previsto dovrebbe essere simile al seguente (abbreviato per brevità):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

Questa policy di accesso include autorizzazioni che concedono a un principale IAM la maggior parte delle autorizzazioni per le risorse. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere uno o più namespace di Kubernetes. Se invece desideri che un principale IAM disponga dell’accesso di amministratore a tutte le risorse del cluster, allora associa la policy di accesso AmazonEKSClusterAdminPolicy alla voce di accesso.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get,list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get,list, watch

AmazonEKSClusterAdminPolicy

Questa policy di accesso include le autorizzazioni che concedono a un principale IAM l’accesso di amministratore per un cluster. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere il cluster, anziché un namespace di Kubernetes. Se desideri che un principale IAM abbia un ambito amministrativo più limitato, valuta invece la possibilità di associare la policy di accesso AmazonEKSAdminPolicy alla voce di accesso.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Gruppi di API Kubernetes nonResourceURLs di Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

*

*

*

AmazonEKSAdminViewPolicy

Questa policy di accesso include le autorizzazioni che concedono a un principale IAM l’accesso per elencare/visualizzare tutte le risorse in un cluster. Questo include Kubernetes Secrets.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

*

get, list, watch

AmazonEKSEditPolicy

Questa policy di accesso include autorizzazioni che consentono a un principale IAM di modificare la maggior parte delle risorse di Kubernetes.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

AmazonEKSViewPolicy

Questa policy di accesso include autorizzazioni che consentono a un principale IAM di visualizzare la maggior parte delle risorse di Kubernetes.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Gruppi di API Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get, list, watch

AmazonEKSAutoNodePolicy

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Questa policy include le seguenti autorizzazioni che consentono ai componenti di Amazon EKS di completare le attività seguenti:

  • kube-proxy: monitorare gli endpoint e i servizi di rete e gestire gli eventi correlati. Ciò consente la funzionalità proxy di rete a livello di cluster.

  • ipamd: gestire le risorse di rete AWS VPC e le interfacce di rete di container (CNI). Ciò consente al daemon di gestione degli indirizzi IP di gestire il networking dei pod.

  • coredns: accedere a risorse di rilevamento servizi come endpoint e servizi. Ciò consente la risoluzione DNS all’interno del cluster.

  • ebs-csi-driver: lavorare con risorse relative all’archiviazione per i volumi Amazon EBS. Ciò consente il provisioning e il collegamento dinamico di volumi persistenti.

  • neuron: monitorare nodi e pod per i dispositivi AWS Neuron. Ciò consente la gestione degli acceleratori AWS Inferentia e Trainium.

  • node-monitoring-agent: accedere alla diagnostica dei nodi e agli eventi. Ciò consente il monitoraggio dell’integrità del cluster e la raccolta della diagnostica.

Ogni componente utilizza un account di servizio dedicato ed è limitato alle sole autorizzazioni necessarie per la sua funzione specifica.

Se specifichi manualmente un ruolo IAM del nodo in una NodeClass, devi creare una voce di accesso che associ il nuovo ruolo IAM del nodo a questa policy di accesso.

AmazonEKSBlockStoragePolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con quelli gestiti dal cliente.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per l’elezione e il coordinamento dei leader per le operazioni di archiviazione:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di archiviazione EKS di coordinare le proprie attività all’interno del cluster attraverso un meccanismo di elezione dei leader.

La policy si applica a specifiche risorse di leasing utilizzate dai componenti di archiviazione EKS per prevenire conflitti di accesso ad altre risorse di coordinamento del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di storage a blocchi.

AmazonEKSLoadBalancingPolicy

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per le elezioni per i leader per il bilanciamento del carico:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di bilanciamento del carico EKS di coordinare le attività su più repliche eleggendo un leader.

La policy riguarda specificamente il bilanciamento del carico delle risorse di leasing per garantire un coordinamento adeguato impedendo al contempo l’accesso ad altre risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSNetworkingPolicy

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per le elezioni dei leader per le reti:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di rete EKS di coordinare le attività di allocazione degli indirizzi IP eleggendo un leader.

La policy riguarda specificamente le reti delle risorse di leasing per garantire un coordinamento adeguato impedendo al contempo l’accesso ad altre risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSComputePolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con quelli gestiti dal cliente.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Questa policy include le autorizzazioni che consentono ad Amazon EKS di gestire le risorse per l’elezione dei leader per le operazioni di elaborazione:

  • coordination.k8s.io: creare e gestire oggetti in leasing per l’elezione dei leader. Ciò consente ai componenti di elaborazione EKS di coordinare le attività di scalabilità dei nodi eleggendo un leader.

La policy riguarda specificamente la gestione delle risorse di elaborazione in leasing e consente al contempo l’accesso di base in lettura (get, watch) a tutte le risorse di leasing del cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSBlockStorageClusterPolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con quelli gestiti dal cliente.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di storage a blocchi di Amazon EKS Auto Mode. Consente una gestione efficiente delle risorse di archiviazione a blocchi all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione del driver CSI:

  • Creare, leggere, aggiornare ed eliminare i driver CSI, in particolare per l’archiviazione a blocchi.

Gestione dei volumi:

  • Elencare, guardare, creare, aggiornare, applicare patch ed eliminare i volumi persistenti.

  • Elencare, guardare e aggiornare le dichiarazioni di volume persistenti.

  • Applicare patch agli stati di dichiarazione di volume persistente.

Interazione tra nodi e pod:

  • Leggere le informazioni su nodi e pod.

  • Gestire gli eventi relativi alle operazioni di archiviazione.

Classi e attributi di archiviazione:

  • Leggere le classi di archiviazione e i nodi CSI.

  • Leggere le classi di attributi del volume.

Allegati dei volumi:

  • Elencare, guardare e modificare gli allegati del volume e il relativo stato.

Operazioni di snapshot:

  • Gestire snapshot di volume, contenuti di snapshot e classi di snapshot.

  • Gestire le operazioni per gli snapshot dei gruppi di volumi e le risorse correlate.

Questa policy è progettata per supportare la gestione completa dell’archiviazione a blocchi all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui il provisioning, il collegamento, il ridimensionamento e la creazione di snapshot di volumi di archiviazione a blocchi.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di storage a blocchi.

AmazonEKSComputeClusterPolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con quelli gestiti dal cliente.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di gestione dell’elaborazione di Amazon EKS Auto Mode. Consente l’orchestrazione e la scalabilità efficienti delle risorse di elaborazione all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione dei nodi:

  • Creare, leggere, aggiornare, eliminare e gestire lo stato di NodePools e NodeClaims.

  • Gestire le NodeClasses, incluse la creazione, la modifica e l’eliminazione.

Pianificazione e gestione delle risorse:

  • Accesso in lettura a pod, nodi, volumi persistenti, attestazioni di volume persistenti, controller di replica e namespace.

  • Accesso in lettura alle classi di archiviazione, ai nodi CSI e agli allegati dei volumi.

  • Elencare e controllare implementazioni, set di daemon, set di repliche e set stateful.

  • Leggere i budget di interruzione dei pod.

Gestione degli eventi:

  • Creare, leggere e gestire gli eventi del cluster.

Revoca del provisioning dei nodi ed espulsione dei pod:

  • Aggiornare, applicare patch ed eliminare i nodi.

  • Creare espulsioni dei pod ed eliminarli quando necessario.

Gestione di definizione di risorse personalizzate (CRD):

  • Creare nuove CRD.

  • Gestire CRD specifiche relative alla gestione dei nodi (NodeClasses, NodePools, NodeClaims e NodeDiagnostics).

Questa policy è progettata per supportare la gestione completa dell’elaborazione all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui il provisioning dei nodi, la pianificazione, la scalabilità e l’ottimizzazione delle risorse.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di gestione di elaborazione.

AmazonEKSLoadBalancingClusterPolicy

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di bilanciamento del carico di Amazon EKS Auto Mode. Consente una configurazione e una gestione efficiente delle risorse di bilanciamento del carico all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione di eventi e risorse:

  • Creare e applicare patch agli eventi.

  • Accesso in lettura a pod, nodi, endpoint e namespace.

  • Aggiornare gli stati dei pod.

Gestione dei servizi e degli ingressi:

  • Gestione completa dei servizi e dei relativi stati.

  • Controllo completo sugli ingressi e sui relativi stati.

  • Accesso in lettura alle sezioni degli endpoint e alle classi di ingresso.

Associazioni per gruppi di destinazione:

  • Creare e modificare le associazioni per gruppi di destinazione e i relativi stati.

  • Accesso in lettura ai parametri della classe di ingresso.

Gestione di definizione di risorse personalizzate (CRD):

  • Creare e leggere tutte le CRD.

  • Gestione specifica delle CRD targetgroupbindings.eks.amazonaws.com e ingressclassparams.eks.amazonaws.com.

Configurazione Webhook:

  • Creare e leggere configurazioni webhook mutanti e convalidanti.

  • Gestire la configurazione eks-load-balancing-webhook.

Questa policy è progettata per supportare la gestione completa del bilanciamento del carico all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui l’esposizione del servizio, l’instradamento in ingresso e l’integrazione con i servizi di bilanciamento del carico AWS.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di bilanciamento del carico.

AmazonEKSNetworkingClusterPolicy

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

Questa policy concede le autorizzazioni necessarie per la funzionalità di rete di Amazon EKS Auto Mode. Consente una configurazione e una gestione efficiente delle risorse di rete all’interno dei cluster Amazon EKS. La policy include le seguenti autorizzazioni:

Gestione di nodi e pod:

  • Accesso in lettura a NodeClasses e ai relativi stati.

  • Accesso in lettura a NodeClaims e ai relativi stati.

  • Accesso in lettura ai pod.

Gestione dei nodi CNI:

  • Autorizzazioni per CNINodes e relativi stati, tra cui creazione, lettura, aggiornamento, eliminazione e applicazione di patch.

Gestione di definizione di risorse personalizzate (CRD):

  • Creare e leggere tutte le CRD.

  • Gestione specifica (aggiornamento, applicazione di patch, eliminazione) della CRD cninodes.eks.amazonaws.com.

Gestione degli eventi:

  • Creare e applicare patch agli eventi.

Questa policy è progettata per supportare la gestione completa della rete all’interno dei cluster Amazon EKS in esecuzione in Auto Mode. Combina le autorizzazioni per varie operazioni, tra cui la configurazione di rete dei nodi, la gestione della CNI (Container Network Interface) e la relativa gestione personalizzata delle risorse.

La policy consente ai componenti di rete di interagire con le risorse relative ai nodi, gestire le configurazioni dei nodi specifiche per CNI e gestire le risorse personalizzate fondamentali per le operazioni di rete nel cluster.

Amazon EKS crea automaticamente una voce di accesso con questa policy di accesso per il ruolo IAM del cluster quando Auto Mode è abilitata, garantendo che siano disponibili le autorizzazioni necessarie per il corretto funzionamento della capacità di rete.

AmazonEKSHybridPolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con quelli gestiti dal cliente.

Questa policy di accesso include le autorizzazioni che concedono a EKS l’accesso di EKS ai nodi di un cluster. Quando è associato a una voce di accesso, il relativo ambito di accesso è in genere il cluster, anziché un namespace di Kubernetes. Questa policy viene utilizzata da Amazon EKS Hybrid Nodes.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Gruppi di API Kubernetes nonResourceURLs di Kubernetes Risorse di Kubernetes Verbi di Kubernetes (autorizzazioni)

*

nodes

list

AmazonEKSClusterInsightsPolicy

Nota

Questa policy è destinata solo ai ruoli AWS collegati ai servizi e non può essere utilizzata con quelli gestiti dal cliente.

ARN: arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Questa policy concede le autorizzazioni di sola lettura alla funzionalità di approfondimenti del cluster di Amazon EKS. La policy include le seguenti autorizzazioni:

Accesso ai nodi: - Elencare e visualizzare i nodi del cluster - Leggere le informazioni sullo stato dei nodi

Accesso a DaemonSet: - Accesso in lettura alla configurazione kube-proxy

Questa policy viene gestita automaticamente dal servizio EKS per gli approfondimenti del cluster. Per ulteriori informazioni, consulta Prepararsi agli aggiornamenti delle versioni di Kubernetes e risolvere i problemi di configurazione errata con gli approfondimenti sui cluster.

Aggiornamenti della policy di accesso

Visualizza i dettagli sugli aggiornamenti alle policy di accesso, da quando sono stati introdotti. Per gli avvisi automatici sulle modifiche apportate a questa pagina, iscriviti al feed RSS in Cronologia dei documenti.

Modifica Descrizione Data

Aggiungi una policy per gli approfondimenti sui cluster di EKS

Pubblica AmazonEKSClusterInsightsPolicy

2 dicembre 2024

Aggiungi policy per Amazon EKS Hybrid

Pubblica AmazonEKSHybridPolicy

2 dicembre 2024

Aggiungi policy per Amazon EKS Auto Mode

Queste policy di accesso autorizzano il ruolo IAM del cluster e il ruolo IAM del nodo a chiamare le API Kubernetes. AWS le utilizza per automatizzare le attività di routine per le risorse di archiviazione, elaborazione e rete.

2 dicembre 2024

Add AmazonEKSAdminViewPolicy

Aggiungi una nuova policy per un accesso esteso alle visualizzazioni, incluse risorse come Secrets.

23 aprile 2024

Policy di accesso introdotte.

Amazon EKS ha introdotto policy di accesso.

29 maggio 2023