Policy gestite da AWS per Amazon Elastic Kubernetes Service - Amazon EKS
Policy gestita da AWS: AmazonEKS_CNI_PolicyPolicy gestita da AWS: AmazonEKSClusterPolicyPolicy gestita da AWS: AmazoneKSDashboardConsoleReadOnlyPolicy gestita da AWS: AmazonEKSFargatePodExecutionRolePolicyPolicy gestita da AWS: AmazonEKSForFargateServiceRolePolicyPolicy gestita da AWS: AmazonEKSComputePolicyPolicy gestita da AWS: AmazoneksNetworkingPolicyPolicy gestita da AWS: AmazonEksBlockStoragePolicyPolicy gestita da AWS: AmazonEKSLoadBalancingPolicyPolicy gestita da AWS: AmazonEKSServicePolicyPolicy gestita da AWS: AmazonEKSServiceRolePolicyPolicy gestita da AWS: AmazonEKSVPCResourceControllerPolicy gestita da AWS: AmazonEKSWorkerNodePolicyPolicy gestita da AWS: AmazonEKSWorkerNodeMinimalPolicyPolicy gestita da AWS: AWSServiceRoleForAmazonEKSNodegroupPolicy gestita da AWS: AmazonEKSDashboardServiceRolePolicyPolicy gestita da AWS: AmazonEBSCSIDriverPolicyPolicy gestita da AWS: AmazonEBSCSIDriverPolicyPolicy gestita da AWS: AmazonEKSLocalOutpostClusterPolicyPolicy gestita da AWS: AmazonEKSLocalOutpostServiceRolePolicyAggiornamenti di Amazon EKS alle policy gestite da AWS

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Policy gestite da AWS per Amazon Elastic Kubernetes Service

Una policy gestita da AWSè una policy autonoma creata e amministrata da AWS. Le policy gestite da AWSsono progettate per fornire autorizzazioni per molti casi d'uso comuni in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Ricorda che le policy gestite da AWS potrebbero non concedere autorizzazioni con privilegi minimi per i tuoi casi d'uso specifici perché possono essere utilizzate da tutti i clienti AWS. Ti consigliamo pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i tuoi casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle policy gestite da AWS. Se AWS aggiorna le autorizzazioni definite in una policy gestita da AWS, l'aggiornamento riguarda tutte le identità principali (utenti, gruppi e ruoli) a cui è collegata la policy. È molto probabile che AWS aggiorni una policy gestita da AWS quando viene avviato un nuovo servizio AWS o vengono rese disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare Policy gestite da AWSnella Guida per l'utente di IAM.

Policy gestita da AWS: AmazonEKS_CNI_Policy

É possibile allegare la AmazonEKS_CNI_Policy alle entità IAM. Prima di creare un gruppo di nodi Amazon EC2, questa policy deve essere allegata al ruolo IAM del nodo, o a un ruolo IAM che è utilizzato in modo specifico dal plugin CNI di Amazon VPC per Kubernetes. In questo modo può eseguire operazioni per conto dell'utente. Si consiglia di allegare le policy a un ruolo utilizzato solo dal plugin. Per ulteriori informazioni, consultare Assegna IP ai pod con CNI di Amazon VPC e Configurare il plug-in CNI di Amazon VPC per l’utilizzo di IRSA.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • ec2:*NetworkInterface e ec2:*PrivateIpAddresses : consente al plugin CNI di Amazon VPC di eseguire azioni come il provisioning di interfacce di rete elastiche e indirizzi IP per i pod, così da fornire una rete per le applicazioni eseguite in Amazon EKS.

  • Azioni di lettura ec2: consente al plugin CNI di Amazon VPC di eseguire azioni come descrivere istanze e sottoreti, così da visualizzare la quantità di indirizzi IP gratuiti nelle sottoreti Amazon VPC. Il CNI di VPC può utilizzare gli indirizzi IP gratuiti in ciascuna sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un’interfaccia di rete elastica.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKS_CNI_Policy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSClusterPolicy

È possibile allegare AmazonEKSClusterPolicy alle entità IAM. Prima di creare un cluster, è necessario disporre di un ruolo IAM del cluster con questa policy allegata. I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate ad altri servizi AWS per conto dell'utente. Ciò serve a gestire le risorse utilizzate con il servizio.

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • autoscaling : leggi e aggiorna la configurazione di un gruppo Auto Scaling. Queste autorizzazioni non sono utilizzate da Amazon EKS, ma rimangono nella policy per la compatibilità con le versioni precedenti.

  • ec2 : lavora con volumi e risorse di rete associati ai nodi Amazon EC2. Ciò è necessario affinché il piano di controllo (control-plane) Kubernetes possa unire le istanze a un cluster ed eseguire dinamicamente il provisioning e la gestione dei volumi Amazon EBS richiesti dai volumi persistenti di Kubernetes.

  • ec2 : elimina le interfacce di rete elastiche create da CNI di VPC. Ciò è necessario affinché EKS possa ripulire le interfacce di rete elastiche che rimangono se CNI di VPC si chiude inaspettatamente.

  • elasticloadbalancing : lavora con Elastic Load Balancers e aggiunge nodi come destinazioni. Ciò è necessario affinché il piano di controllo Kubernetes possa eseguire dinamicamente il provisioning degli Elastic Load Balancers (load balancer Elastico) richiesti dai servizi Kubernetes.

  • iam : crea un ruolo collegato ai servizi. Ciò è necessario affinché il piano di controllo (control-plane) Kubernetes possa eseguire dinamicamente il provisioning degli Elastic Load Balancer richiesti dai servizi Kubernetes.

  • kms : legge una chiave da AWS KMS. Questa attività è necessaria affinché il piano di controllo (control-plane) Kubernetes supporti la crittografia dei segreti di Kubernetes archiviati in etcd.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSClusterPolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazoneKSDashboardConsoleReadOnly

È possibile collegare AmazonEKSDashboardConsoleReadOnly alle entità IAM.

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • eks : accesso in sola lettura ai dati, alle risorse e alle informazioni sulle versioni del cluster della dashboard EKS. Ciò consente di visualizzare le metriche relative a EKS e i dettagli di configurazione del cluster.

  • organizations : accesso in sola lettura alle informazioni di AWS Organizations, tra cui:

    • visualizzazione dei dettagli dell’organizzazione e dell’accesso al servizio

    • elenco delle root organizzative, degli account e delle unità organizzative

    • Visualizzazione della struttura dell’organizzazione

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSDashboardConsoleReadOnly nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSFargatePodExecutionRolePolicy

È possibile allegare AmazonEKSFargatePodExecutionRolePolicy alle entità IAM. Prima di poter creare un profilo Fargate, è necessario creare un ruolo di esecuzione del pod Fargate e allegare questa policy ad esso. Per ulteriori informazioni, consultare Fase 2: creare un ruolo di esecuzione del pod Fargate e Definisci quali pod utilizzano AWS Fargate durante l’avvio.

Questa policy concede al ruolo le autorizzazioni che forniscono l’accesso ad altre risorse di servizio AWS necessarie per eseguire i pod Amazon EKS su Fargate.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • ecr : consente ai pod in esecuzione su Fargate di estrarre le immagini del container memorizzate in Amazon ECR.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSFargatePodExecutionRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSForFargateServiceRolePolicy

Non è possibile allegare AmazonEKSForFargateServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta AWSServiceRoleforAmazonEKSForFargate.

Questa policy concede ad Amazon EKS le autorizzazioni necessarie per eseguire le attività di Fargate. La policy viene utilizzato solo se si dispone di nodi Fargate.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.

  • ec2 : crea ed elimina interfacce di rete elastiche e descrive le interfacce di rete elastiche e le risorse. Questa operazione è necessaria affinché il servizio Fargate di Amazon EKS possa configurare la rete VPC necessaria per i pod Fargate.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSForFargateServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSComputePolicy

È possibile collegare AmazonEKSComputePolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.

Questa policy concede le autorizzazioni necessarie ad Amazon EKS per creare e gestire istanze EC2 per il cluster EKS e le autorizzazioni IAM necessarie per configurare EC2. Inoltre, questa policy concede ad Amazon EKS le autorizzazioni per creare il ruolo collegato al servizio Spot EC2 per conto dell’utente.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • Autorizzazioniec2 :

    • ec2:CreateFleet e ec2:RunInstances: consente la creazione di istanze EC2 e l’utilizzo di risorse EC2 specifiche (immagini, gruppi di sicurezza, sottoreti) per i nodi del cluster EKS.

    • ec2:CreateLaunchTemplate: consente di creare modelli di lancio EC2 per i nodi del cluster EKS.

    • La policy include anche condizioni per limitare l’utilizzo di queste autorizzazioni EC2 alle risorse contrassegnate con il nome del cluster EKS e altri tag pertinenti.

    • ec2:CreateTags: consente di aggiungere tag alle risorse EC2 create dalle azioni CreateFleet, RunInstances e CreateLaunchTemplate.

  • Autorizzazioni iam:

    • iam:AddRoleToInstanceProfile: consente di aggiungere un ruolo IAM al profilo dell’istanza di calcolo EKS.

    • iam:PassRole: consente di passare i ruoli IAM necessari al servizio EC2.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSComputePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazoneksNetworkingPolicy

È possibile collegare AmazonEKSNetworkingPolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.

Questa policy è progettata per concedere le autorizzazioni necessarie ad Amazon EKS per creare e gestire interfacce di rete per il cluster EKS, consentendo al piano di controllo e ai nodi worker di comunicare e funzionare correttamente.

Dettagli dell'autorizzazione

Questa policy concede le seguenti autorizzazioni per consentire ad Amazon EKS di gestire le interfacce di rete per il cluster:

  • Autorizzazioni dell’interfaccia di rete ec2

    • ec2:CreateNetworkInterface: consente la creazione di interfacce di rete EC2.

    • La policy include condizioni per limitare l’utilizzo di questa autorizzazione alle interfacce di rete contrassegnate con il nome del cluster EKS e il nome del nodo CNI di Kubernetes.

    • ec2:CreateTags: consente di aggiungere tag alle interfacce di rete create dall’azione CreateNetworkInterface.

  • Autorizzazioni di gestione delle interfacce di rete ec2:

    • ec2:AttachNetworkInterface, ec2:DetachNetworkInterface: consente di collegare e scollegare interfacce di rete alle istanze EC2.

    • ec2:UnassignPrivateIpAddresses, ec2:UnassignIpv6Addresses, ec2:AssignPrivateIpAddresses, ec2:AssignIpv6Addresses: consente di gestire le assegnazioni degli indirizzi IP delle interfacce di rete.

    • Tali autorizzazioni sono limitate alle interfacce di rete contrassegnate con il nome del cluster EKS.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSNetworkingPolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEksBlockStoragePolicy

È possibile collegare AmazonEKSBlockStoragePolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.

Questa policy concede le autorizzazioni necessarie ad Amazon EKS per creare, gestire e mantenere volumi e snapshot EC2 per il cluster EKS, consentendo al piano di controllo e ai nodi worker di fornire e utilizzare l’archiviazione persistente come richiesto dai carichi di lavoro Kubernetes.

Dettagli dell'autorizzazione

Questa policy IAM concede le seguenti autorizzazioni per consentire ad Amazon EKS di gestire volumi e snapshot EC2:

  • Autorizzazioni per la gestione dei volumi ec2:

    • ec2:AttachVolume, ec2:DetachVolume, ec2:ModifyVolume, ec2:EnableFastSnapshotRestores: consente di allegare, scollegare, modificare e abilitare ripristini rapidi di snapshot per i volumi EC2.

    • Queste autorizzazioni sono limitate ai volumi contrassegnati con il nome del cluster EKS.

    • ec2:CreateTags: consente di aggiungere tag ai volumi e agli snapshot di EC2 creati dalle azioni CreateVolume e CreateSnapshot.

  • Autorizzazioni per la creazione di volumi ec2:

    • ec2:CreateVolume: consente la creazione di nuovi volumi EC2.

    • La policy include condizioni per limitare l’utilizzo di questa autorizzazione a volumi contrassegnati con il nome del cluster EKS e altri tag pertinenti.

    • ec2:CreateSnapshot: consente la creazione di nuovi snapshot di volumi EC2.

    • La policy include condizioni per limitare l’utilizzo di questa autorizzazione agli snapshot contrassegnati con il nome del cluster EKS e altri tag pertinenti.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSBlockStoragePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSLoadBalancingPolicy

È possibile collegare AmazonEKSLoadBalancingPolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.

Questa policy IAM concede le autorizzazioni necessarie ad Amazon EKS per lavorare con vari servizi AWS per gestire Elastic Load Balancers (ELB) e risorse correlate.

Dettagli dell'autorizzazione

Le autorizzazioni principali concesse da questa policy sono:

  • elasticloadbalancing : consente di creare, modificare e gestire Elastic Load Balancer e gruppi di destinazione. Ciò include le autorizzazioni per creare, aggiornare ed eliminare bilanciatori del carico, gruppi di destinazione, listener e regole.

  • ec2 : consente di creare e gestire gruppi di sicurezza, necessari al piano di controllo Kubernetes per unire le istanze a un cluster e gestire i volumi Amazon EBS. Consente inoltre di descrivere ed elencare risorse EC2 come istanze, VPC, sottoreti, gruppi di sicurezza e altre risorse di rete.

  • iam : consente di creare un ruolo collegato al servizio per Elastic Load Balancing, necessario per il piano di controllo di Kubernetes per il provisioning dinamico di ELB.

  • kms : consente la lettura di una chiave da AWS KMS, necessaria affinché il piano di controllo Kubernetes supporti la crittografia dei segreti di Kubernetes memorizzati in etcd.

  • wafv2 e shield : consente di associare e dissociare gli ACL Web e di creare/eliminare le protezioni AWS Shield per Elastic Load Balancer.

  • cognito-idp , acm e elasticloadbalancing : concede le autorizzazioni per descrivere i client del pool di utenti, elencare e descrivere i certificati, e descrivere i gruppi di destinazione, necessari al piano di controllo di Kubernetes per gestire gli Elastic Load Balancer.

La policy include anche diversi controlli delle condizioni per garantire che le autorizzazioni rientrino nell’ambito dello specifico cluster EKS gestito, utilizzando il tag eks:eks-cluster-name.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSLoadBalancingPolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSServicePolicy

È possibile collegare AmazonEKSServicePolicy alle entità IAM. I cluster creati prima del 16 aprile 2020 richiedono all'utente di creare un ruolo IAM e allegarvi questa policy. I cluster creati a partire dal 16 aprile 2020 non richiedono la creazione di un ruolo e non richiedono l’assegnazione di questa policy. Quando si crea un cluster tramite un principale IAM con l’autorizzazione iam:CreateServiceLinkedRole, il ruolo collegato al servizio AWSServiceRoleforAmazonEKS è creato automaticamente per conto del cliente. Il ruolo collegato al servizio ha la policy gestita: AmazoneksServiceRolePolicy a esso allegata.

Questa policy consente ad Amazon EKS di creare e gestire le risorse necessarie per gestire i cluster Amazon EKS.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.

  • eks : aggiorna la versione Kubernetes del cluster dopo aver avviato un aggiornamento. Questa autorizzazione non è utilizzata da Amazon EKS, ma rimane nella policy per la compatibilità con le versioni precedenti.

  • ec2 : lavora con le interfacce di rete elastiche e altre risorse e tag di rete. Ciò è richiesto da Amazon EKS per configurare la rete che facilita la comunicazione tra i nodi e il piano di controllo Kubernetes. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza.

  • route53 : associa un VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete di endpoint privati per il server API del cluster Kubernetes.

  • logs : registra eventi. Ciò è necessario affinché Amazon EKS possa spedire i log del piano di controllo Kubernetes a CloudWatch.

  • iam : crea un ruolo collegato ai servizi. Questa operazione è necessaria affinché Amazon EKS possa creare il ruolo collegato al servizio Autorizzazioni del ruolo collegato ai servizi per Amazon EKS per conto dell'utente.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSServicePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSServiceRolePolicy

Non è possibile allegare AmazonEKSServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS. Quando si crea un cluster tramite un principale IAM con l’autorizzazione iam:CreateServiceLinkedRole, il ruolo collegato al servizio AWSServiceRoleforAmazonEKS viene creato automaticamente per conto dell’utente e questa policy è allegata a esso.

Questa policy consente al ruolo collegato al servizio di chiamare servizi AWS per conto dell'utente.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.

  • ec2 : crea e descrive le interfacce di rete elastiche e le istanze di Amazon EC2, il gruppo di sicurezza del cluster e i VPC necessari per la creazione del cluster. Per ulteriori informazioni, consulta Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza. Leggi informazioni sulle prenotazioni della capacità on demand.

  • Modalità automatica ec2: termina le istanze EC2 create dalla modalità automatica EKS. Per ulteriori informazioni, consulta Automate cluster infrastructure with EKS Auto Mode.

  • iam : elenca tutti i criteri gestiti allegati a un ruolo IAM. Ciò è necessario affinché Amazon EKS possa pubblicare e convalidare tutte le politiche gestite e le autorizzazioni necessarie per la creazione di un cluster.

  • Associa un VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete di endpoint privati per il server API del cluster Kubernetes.

  • registro eventi. Ciò è necessario affinché Amazon EKS possa spedire i registri del piano di controllo (control-plane) Kubernetes a CloudWatch.

  • Invio metrica: ciò è necessario affinché Amazon EKS possa spedire i log del piano di controllo Kubernetes a CloudWatch.

  • eks : gestisci le voci e le politiche di accesso ai cluster, permettendo un controllo granulare su chi può accedere alle risorse EKS e quali azioni può eseguire. Ciò include l’associazione di policy di accesso standard per operazioni di elaborazione, rete, bilanciamento del carico e archiviazione.

  • elasticloadbalancing : crea, gestisci ed elimina i bilanciatori del carico e i relativi componenti (listener, gruppi di destinazione, certificati) associati ai cluster EKS. Visualizza gli attributi e lo stato di integrità del bilanciatore del carico.

  • events : crea e gestisci regole EventBridge per il monitoraggio degli eventi EC2 e AWS Health relativi ai cluster EKS, abilitando risposte automatiche ai cambiamenti dell’infrastruttura e agli avvisi sullo stato.

  • iam : gestisci i profili delle istanze EC2 con il prefisso “eks”, inclusa la creazione, l’eliminazione e l’associazione dei ruoli, necessarie per la gestione dei nodi EKS.

  • pricing e shield : accedi alle informazioni AWS sui prezzi e allo stato di protezione Shield, abilitando la gestione dei costi e le funzionalità di sicurezza avanzate per le risorse EKS.

  • Pulizia delle risorse: elimina in modo sicuro le risorse con tag EKS, inclusi volumi, snapshot, modelli di avvio e interfacce di rete durante le operazioni di pulizia dei cluster.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSVPCResourceController

È possibile allegare la policy AmazonEKSVPCResourceController alle identità IAM. Se utilizzi gruppi di sicurezza per pod, dovrai allegare questa policy al ruolo IAM del cluster Amazon EKS perché possa eseguire operazioni per tuo conto.

Questa policy concede le autorizzazioni del ruolo cluster per gestire le interfacce di rete elastiche e gli indirizzi IP per i nodi.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • ec2 : gestisci le interfacce di rete elastiche e gli indirizzi IP per supportare i gruppi di sicurezza dei pod e i nodi Windows.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSVPCResourceController nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSWorkerNodePolicy

É possibile allegare la AmazonEKSWorkerNodePolicy alle entità IAM. È necessario allegare questa policy a un Ruolo IAM del nodo che va specificato quando si creano nodi Amazon EC2 che consentono ad Amazon EKS di eseguire operazioni per conto dell'utente. Se si crea un gruppo di nodi utilizzando eksctl, si crea il ruolo IAM del nodo e si allega automaticamente questa policy al ruolo.

Questa policy concede ai nodi Amazon EKS Amazon EC2 le autorizzazioni per connettersi ai cluster Amazon EKS.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • ec2 : leggi le informazioni sul volume dell’istanza e sulla rete. Ciò è necessario affinché i nodi Kubernetes possano descrivere le informazioni sulle risorse Amazon EC2 necessarie per l'unione del nodo al cluster Amazon EKS.

  • eks : descrivi in modo facoltativo il cluster come parte del bootstrap del nodo.

  • eks-auth:AssumeRoleForPodIdentity : consenti il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSWorkerNodePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSWorkerNodeMinimalPolicy

Non è possibile allegare la AmazonEKSWorkerNodeMinimalPolicy alle tue entità IAM. È necessario allegare questa policy a un ruolo IAM del nodo che deve essere specificato quando si creano nodi Amazon EC2 che consentono ad Amazon EKS di eseguire operazioni per conto dell’utente.

Questa policy concede ai nodi Amazon EKS Amazon EC2 le autorizzazioni per connettersi ai cluster Amazon EKS. Questa policy ha meno autorizzazioni rispetto ad AmazoneksWorkerNodePolicy.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • eks-auth:AssumeRoleForPodIdentity: consenti il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSWorkerNodePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AWSServiceRoleForAmazonEKSNodegroup

Non è possibile allegare AWSServiceRoleForAmazonEKSNodegroup alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS.

Questa policy concede l'autorizzazione ai ruoli AWSServiceRoleForAmazonEKSNodegroup che consentono di creare e gestire gruppi di nodi Amazon EC2 nell'account.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • ec2 : lavora con gruppi di sicurezza, tag, prenotazioni della capacità e modelli di avvio. Ciò è necessario per i gruppi di nodi gestiti da Amazon EKS per abilitare la configurazione dell’accesso remoto e descrivere le prenotazioni della capacità che possono essere utilizzate nei gruppi di nodi gestiti. Inoltre, i gruppi di nodi gestiti da Amazon EKS creano un modello di avvio per conto dell'utente. Questo consente di configurare il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito.

  • iam : crea un ruolo collegato ai servizi e passa un ruolo. Ciò è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire i profili di istanza per il ruolo passato durante la creazione di un gruppo di nodi gestito. Questo profilo dell'istanza viene utilizzato dalle istanze Amazon EC2 avviate come parte di un gruppo di nodi gestito. Amazon EKS deve creare ruoli collegati al servizio per altri servizi come, ad esempio i gruppi di Amazon EC2 Auto Scaling. Queste autorizzazioni vengono utilizzate nella creazione di un gruppo di nodi gestito.

  • autoscaling : lavora con gruppi Auto Scaling di sicurezza. Questo è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire il gruppo di Amazon EC2 Auto Scaling che supporta ciascun gruppo di nodi gestito. Inoltre, è utilizzato per supportare funzionalità quali la rimozione di container quando i nodi sono terminati o riciclati durante gli aggiornamenti dei gruppi di nodi.

Per visualizzare la versione più recente del documento di policy JSON, consulta AWSServiceRoleForAmazonEKSNodegroup nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSDashboardServiceRolePolicy

Non è possibile allegare AmazonEKSDashboardServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS.

Questa policy concede l'autorizzazione ai ruoli AWSServiceRoleForAmazonEKSDashboard che consentono di creare e gestire gruppi di nodi Amazon EC2 nell'account.

Dettagli dell'autorizzazione

Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:

  • organizations : visualizza le informazioni sulla struttura e gli account di AWS Organizations. Ciò include le autorizzazioni per elencare gli account dell’organizzazione, visualizzare le unità organizzative e le root, elencare gli amministratori delegati, visualizzare i servizi che hanno accesso all’organizzazione e recuperare informazioni dettagliate sull’organizzazione e sugli account.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSDashboardServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEBSCSIDriverPolicy

La policy AmazonEBSCSIDriverPolicy consente al driver Container Storage Interface (CSI) di Amazon EBS di creare, modificare, collegare, scollegare ed eliminare volumi per conto dell'utente. Ciò include la modifica dei tag sui volumi esistenti e l’abilitazione del ripristino rapido degli snapshot (FSR) sui volumi EBS. Inoltre, concede al driver CSI di EBS le autorizzazioni necessarie per creare, ripristinare ed eliminare snapshot, e per elencare istanze, volumi e snapshot.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEBSCSIDriverServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEBSCSIDriverPolicy

LaAmazonEFSCSIDriverPolicyla policy consente all'Amazon EFS Container Storage Interface (CSI) di creare ed eliminare punti di accesso per tuo conto. Concede inoltre al driver CSI di Amazon EFS le autorizzazioni per elencare i punti di accesso, i file system, gli obiettivi di montaggio e le zone di disponibilità di Amazon EC2.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEBSCSIDriverServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSLocalOutpostClusterPolicy

È possibile collegare questa policy alle entità IAM. Prima di creare un cluster, è necessario allegare questa policy a un ruolo cluster. I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate ad altri servizi AWS per conto dell'utente. Ciò serve a gestire le risorse utilizzate con il servizio.

La AmazonEKSLocalOutpostClusterPolicy include le autorizzazioni seguenti:

  • Azioni di lettura ec2: consente alle istanze del piano di controllo di descrivere le proprietà della zona di disponibilità, della tabella di routing, dell’istanza e dell’interfaccia di rete. Autorizzazioni necessarie affinché le istanze Amazon EC2 si uniscano correttamente al cluster come istanze del piano di controllo.

  • ssm : consente la connessione di Systems Manager di Amazon EC2 all’istanza del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account.

  • logs : consente alle istanze di inviare i log ad Amazon CloudWatch.

  • secretsmanager : consente alle istanze di ottenere ed eliminare in modo sicuro i dati di bootstrap per le istanze del piano di controllo da AWS Secrets Manager.

  • ecr : consente a pod e container in esecuzione sulle istanze del piano di controllo di estrarre le immagini di container memorizzate in Amazon Elastic Container Registry.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSLocalOutpostClusterPolicy nella Guida di riferimento sulle policy gestite da AWS.

Policy gestita da AWS: AmazonEKSLocalOutpostServiceRolePolicy

Non è possibile allegare questa policy alle entità IAM. Quando si crea un cluster tramite un principale IAM con l’autorizzazione iam:CreateServiceLinkedRole, Amazon EKS crea automaticamente il ruolo collegato al servizio AWSServiceRoleforAmazonEKSLocalOutpost per conto dell’utente e questa policy è allegata a esso. Questa policy consente al ruolo collegato al servizio di chiamare i servizi AWS per conto tuo.

La AmazonEKSLocalOutpostServiceRolePolicy include le autorizzazioni seguenti:

  • ec2 : consente ad Amazon EKS di utilizzare le risorse di sicurezza, rete e altro tipo per avviare e gestire correttamente le istanze del piano di controllo nel tuo account.

  • ssm, ssmmessages : consente la connessione di Amazon EC2 Systems Manager alle istanze del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account.

  • iam : consente ad Amazon EKS di gestire il profilo dell’istanza associato alle istanze del piano di controllo.

  • secretsmanager : consente ad Amazon EKS di inserire i dati di bootstrap per le istanze del piano di controllo in AWS Secrets Manager in modo che possa essere referenziato in modo sicuro durante il bootstrap dell’istanza.

  • outposts : consente ad Amazon EKS di ottenere le informazioni sull’Outpost dal tuo account per avviare correttamente un cluster locale in un Outpost.

Per visualizzare la versione più recente del documento di policy JSON, consulta AmazonEKSLocalOutpostServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.

Aggiornamenti di Amazon EKS alle policy gestite da AWS

Visualizza i dettagli sugli aggiornamenti alle policy gestite da AWS per Amazon EKS da quando questo servizio ha iniziato a tenere traccia delle modifiche.

Per ricevere notifiche di tutte le modifiche al file di origine di questa pagina di documentazione specifica, è possibile iscriversi al seguente URL con un lettore RSS:

https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
Modifica Descrizione Data

Aggiunta l’autorizzazione a Policy gestita da AWS: AmazonEKSServiceRolePolicy

Questo ruolo può allegare una nuova policy di accesso AmazonEKSEventPolicy. Autorizzazioni limitate per ec2:DeleteLaunchTemplate e ec2:TerminateInstances.

26 agosto 2025

Aggiunta l’autorizzazione a Policy gestita da AWS: AmazonEKSLocalOutpostServiceRolePolicy

Aggiunta l’autorizzazione ssmmessages:OpenDataChannel a AmazonEKSLocalOutpostServiceRolePolicy.

26 giugno 2025

Aggiunta l’autorizzazione a Policy gestita da AWS: AmazonEKSComputePolicy.

Autorizzazioni aggiornate per le risorse ec2:RunInstances e ec2:CreateFleet azioni che includono le prenotazioni della capacità arn:aws:ec2:*:*:capacity-reservation/*. Ciò consente alla modalità automatica di Amazon EKS di avviare istanze utilizzando le prenotazioni della capacità on-demand di EC2 nel tuo account. iam:CreateServiceLinkedRole aggiunto per consentire alla modalità automatica di Amazon EKS di creare il ruolo AWSServiceRoleForEC2Spot collegato al servizio Spot EC2 per tuo conto.

20 giugno 2025

È stata aggiunta l’autorizzazione a AmazonEKSServiceRolePolicy.

È stata aggiunta l’autorizzazione ec2:DescribeCapacityReservations per consentire alla modalità automatica di Amazon EKS di avviare istanze utilizzando le prenotazioni della capacità on-demand EC2 nell’account.

20 giugno 2025

Introdotto Policy gestita da AWS: AmazoneKSDashboardConsoleReadOnly.

È stata introdotta una nuova policy AmazonEKSDashboardConsoleReadOnly.

19 giugno 2025

Introdotto Policy gestita da AWS: AmazonEKSDashboardServiceRolePolicy.

È stata introdotta una nuova policy AmazonEKSDashboardServiceRolePolicy.

21 maggio 2025

Sono state aggiunte le autorizzazioni per AmazonEKSClusterPolicy.

È stata aggiunta l’autorizzazione ec2:DeleteNetworkInterfaces per consentire ad Amazon EKS di eliminare le interfacce di rete elastiche che sono lasciate indietro se il CNI di VPC si chiude inaspettatamente.

16 aprile 2025

È stata aggiunta l’autorizzazione a AmazonEKSServiceRolePolicy.

Aggiunte le autorizzazioni ec2:RevokeSecurityGroupEgress e ec2:AuthorizeSecurityGroupEgress per consentire ai clienti IA/ML di EKS di aggiungere regole di uscita dei gruppi di sicurezza al cluster SG di EKS predefinito compatibili con EFA, come parte della versione EKS 1.33.

14 aprile 2025

Aggiunte autorizzazioni ad AmazonEKSServiceRolePolicy.

Aggiunta l’autorizzazione per terminare le istanze EC2 create dalla modalità automatica di EKS.

28 febbraio 2025

Aggiunte autorizzazioni a AmazonEBSCSIDriverPolicy.

È stata aggiunta una nuova dichiarazione che autorizza il driver CSI EBS a ripristinare tutti gli snapshot. Ciò era precedentemente consentito dalla policy esistente, ma è necessaria una nuova dichiarazione esplicita per via di una modifica nella gestione di IAM per CreateVolume.

È stata aggiunta la possibilità per il driver CSI EBS di modificare i tag sui volumi esistenti. Il driver CSI EBS può modificare i tag dei volumi esistenti tramite un parametro in Kubernetes VolumeAttributesClasses.

È stata aggiunta la possibilità per il driver CSI EBS di abilitare il ripristino rapido degli snapshot (FSR) sui volumi EBS. Il driver CSI EBS può abilitare FSR su nuovi volumi tramite parametri nelle classi di archiviazione Kubernetes.

13 gennaio 2025

Aggiunte autorizzazioni a Policy gestita da AWS: AmazonEKSLoadBalancingPolicy.

Aggiornato AmazonEKSLoadBalancingPolicy per consentire l’elenco e la descrizione delle risorse di rete e degli indirizzi IP.

26 dicembre 2024

Aggiunte autorizzazioni a Policy gestita da AWS: AWSServiceRoleForAmazonEKSNodegroup.

Aggiornato AWSServiceRoleForAmazonEKSNodegroup per compatibilità con le regioni della Cina.

22 novembre 2024

Aggiunte autorizzazioni a Policy gestita da AWS: AmazonEKSLocalOutpostClusterPolicy

Aggiunta l’autorizzazione ec2:DescribeAvailabilityZones a AmazonEKSLocalOutpostClusterPolicy in modo che AWS Cloud Controller Manager sul piano di controllo del cluster possa identificare la zona di disponibilità in cui si trova ogni nodo.

21 novembre 2024

Aggiunte autorizzazioni a Policy gestita da AWS: AWSServiceRoleForAmazonEKSNodegroup.

Policy AWSServiceRoleForAmazonEKSNodegroup aggiornata per consentire a ec2:RebootInstances le istanze create da gruppi di nodi gestiti di Amazon EKS. Limitazione delle autorizzazioni ec2:CreateTags per le risorse Amazon EC2.

20 novembre 2024

Aggiunte autorizzazioni a Policy gestita da AWS: AmazonEKSServiceRolePolicy.

Aggiornata la policy AmazonEKSServiceRolePolicy gestita da AWS in EKS. Aggiunte le autorizzazioni per le politiche di accesso EKS, la gestione del bilanciatore del carico e la pulizia automatica delle risorse del cluster.

16 novembre 2024

Introdotto Policy gestita da AWS: AmazonEKSComputePolicy.

Aggiornata la policy AmazonEKSComputePolicy gestita da AWS in EKS. Autorizzazioni delle risorse aggiornate per l’azione iam:AddRoleToInstanceProfile.

7 novembre 2024

Introdotto Policy gestita da AWS: AmazonEKSComputePolicy.

AWS ha introdotto AmazonEKSComputePolicy.

1 novembre 2024

Aggiunte autorizzazioni a AmazonEKSClusterPolicy

Aggiunta l’autorizzazione ec2:DescribeInstanceTopology per consentire ad Amazon EKS di allegare informazioni di topologia al nodo come etichette.

1 novembre 2024

Introdotto Policy gestita da AWS: AmazonEksBlockStoragePolicy.

AWS ha introdotto AmazonEKSBlockStoragePolicy.

30 ottobre 2024

Introdotto Policy gestita da AWS: AmazonEKSLoadBalancingPolicy.

AWS ha introdotto AmazonEKSLoadBalancingPolicy.

30 ottobre 2024

Aggiunte autorizzazioni ad AmazonEKSServiceRolePolicy.

Aggiunte autorizzazioni cloudwatch:PutMetricData per consentire ad Amazon EKS di pubblicare metriche in Amazon CloudWatch.

29 ottobre 2024

Introdotto Policy gestita da AWS: AmazoneksNetworkingPolicy.

AWS ha introdotto AmazonEKSNetworkingPolicy.

28 ottobre 2024

Aggiunte autorizzazioni a AmazonEKSServicePolicy e AmazonEKSServiceRolePolicy

Aggiunte autorizzazione ec2:GetSecurityGroupsForVpc e ai tag associati per consentire a EKS di leggere le informazioni sui gruppi di sicurezza e aggiornare i tag correlati.

10 ottobre 2024

Introdotto AmazonEKSWorkerNodeMinimalPolicy.

AWS ha introdotto AmazonEKSWorkerNodeMinimalPolicy.

3 ottobre 2024

Sono state aggiunte le autorizzazioni per AWSServiceRoleForAmazonEKSNodegroup.

Aggiunte le autorizzazioni autoscaling:ResumeProcesses e autoscaling:SuspendProcesses per consentire ad Amazon EKS di sospendere e riprendere AZRebalance nei gruppi Auto Scaling gestiti da Amazon EKS.

21 agosto 2024

Sono state aggiunte le autorizzazioni per AWSServiceRoleForAmazonEKSNodegroup.

Aggiunta l’autorizzazione ec2:DescribeCapacityReservations per consentire ad Amazon EKS di descrivere la prenotazione della capacità nell’account dell’utente. È stata aggiunta l’autorizzazione autoscaling:PutScheduledUpdateGroupAction per abilitare l’impostazione del ridimensionamento pianificato sui gruppi di nodi CAPACITY_BLOCK.

27 giugno 2024

AmazonEKS_CNI_Policy: aggiornamento a una policy esistente

Amazon EKS ha aggiunto nuove autorizzazioni ec2:DescribeSubnets per consentire al plugin CNI di Amazon VPC per Kubernetes di visualizzare la quantità di indirizzi IP gratuiti nelle sottoreti Amazon VPC. Il CNI di VPC può utilizzare gli indirizzi IP gratuiti in ciascuna sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un’interfaccia di rete elastica.

4 marzo 2024

AmazonEKSWorkerNodePolicy: aggiorna una policy esistente

Amazon EKS ha aggiunto nuove autorizzazioni per consentire le associazioni EKS Pod Identity. Amazon EKS Pod Identity Agent utilizza il ruolo del nodo.

26 novembre 2023

È stata introdotta AmazonEBSCSIDriverPolicy.

AWS ha introdotto AmazonEFSCSIDriverPolicy.

26 luglio 2023

Sono state aggiunte le autorizzazioni per AmazonEKSClusterPolicy.

È stata aggiunta l'autorizzazione ec2:DescribeAvailabilityZones per consentire ad Amazon EKS di ottenere i dettagli AZ durante l'individuazione automatica delle sottoreti nella creazione di sistemi di bilanciamento del carico.

7 febbraio 2023

Sono state aggiornate le condizioni della policy in AmazoneBSCSIdririverPolicy.

Sono state rimosse condizioni della policy non valide con caratteri jolly nel campo chiave StringLike. È stata aggiunta, inoltre, una nuova condizione ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" a ec2:DeleteVolume che consente al driver CSI EBS di eliminare volumi creati dal plugin nella struttura.

17 novembre 2022

Sono state aggiunte le autorizzazioni per AmazonEKSLocalOutpostServiceRolePolicy.

Aggiunti ec2:DescribeVPCAttribute, ec2:GetConsoleOutput e ec2:DescribeSecret per consentire una migliore convalida dei prerequisiti e il controllo gestito del ciclo di vita. Sono stati inoltre aggiunti ec2:DescribePlacementGroups, "arn:aws:ec2:*:*:placement-group/*" e ec2:RunInstances per supportare il controllo del posizionamento delle istanze Amazon EC2 del piano di controllo su Outposts.

24 ottobre 2022

Aggiorna le autorizzazioni di Amazon Elastic Container Registry in AmazonEKSLocalOutpostClusterPolicy.

L'azione ecr:GetDownloadUrlForLayer è stata spostata da tutte le sezioni delle risorse a una sezione con ambito. Aggiunta la risorsa arn:aws:ecr:*:*:repository/eks/ . Risorsa arn:aws:ecr: rimossa. Questa risorsa è coperta dalla risorsa arn:aws:ecr:*:*:repository/eks/* aggiunta.

20 ottobre 2022

Sono state aggiunte le autorizzazioni per AmazonEKSLocalOutpostClusterPolicy.

È stato aggiunto il repository arn:aws:ecr:*:*:repository/kubelet-config-updater Amazon Elastic Container Registry in modo che le istanze del piano di controllo del cluster possano aggiornare alcuni argomenti kubelet.

31 agosto 2022

È stato introdotto AmazonEKSLocalOutpostClusterPolicy.

AWS ha introdotto AmazonEKSLocalOutpostClusterPolicy.

24 agosto 2022

È stato introdotto AmazonEKSLocalOutpostServiceRolePolicy.

AWS ha introdotto AmazonEKSLocalOutpostServiceRolePolicy.

23 agosto 2022

È stata introdotta AmazonEBSCSIDriverPolicy.

AWS ha introdotto AmazonEBSCSIDriverPolicy.

4 aprile 2022

Sono state aggiunte le autorizzazioni per AmazonEKSWorkerNodePolicy.

È stato aggiunto ec2:DescribeInstanceTypes per consentire alle AMI ottimizzate per Amazon EKS di rilevare automaticamente le proprietà a livello di istanza.

21 marzo 2022

Sono state aggiunte le autorizzazioni per AWSServiceRoleForAmazonEKSNodegroup.

Aggiunta l'autorizzazione autoscaling:EnableMetricsCollection per consentire ad Amazon EKS l'abilitazione della raccolta di parametri.

13 dicembre 2021

Sono state aggiunte le autorizzazioni per AmazonEKSClusterPolicy.

Aggiunta delle autorizzazioni ec2:DescribeAccountAttributes, ec2:DescribeAddresses, e ec2:DescribeInternetGateways per consentire ad Amazon EKS di creare un ruolo collegato al servizio per un Network Load Balancer (load balancer di Rete).

17 giugno 2021

Amazon EKS ha iniziato a monitorare le modifiche

Amazon EKS ha iniziato a monitorare le modifiche per le sue policy gestite da AWS.

17 giugno 2021