Contribuisci a migliorare questa pagina
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS politiche gestite per Amazon Elastic Kubernetes Service
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo policy gestite dal cliente specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando viene lanciato un nuovo AWS servizio o quando nuove operazioni API diventano disponibili per i servizi esistenti.
Per ulteriori informazioni, consultare Policy gestite da AWS nella Guida per l'utente di IAM.
AWS politica gestita: Amazoneks_CNI_Policy
É possibile allegare la AmazonEKS_CNI_Policy alle entità IAM. Prima di creare un gruppo di nodi Amazon EC2, questa policy deve essere allegata al ruolo IAM del nodo, o a un ruolo IAM che è utilizzato in modo specifico dal plugin CNI di Amazon VPC per Kubernetes. In questo modo può eseguire operazioni per conto dell'utente. Si consiglia di allegare le policy a un ruolo utilizzato solo dal plugin. Per ulteriori informazioni, consultare Assegna IPs ai pod con Amazon VPC CNI e Configurare il plug-in CNI di Amazon VPC per l’utilizzo di IRSA.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2:*NetworkInterfaceeec2:*PrivateIpAddresses: consente al plugin CNI di Amazon VPC di eseguire azioni come il provisioning di interfacce di rete elastiche e indirizzi IP per i pod, così da fornire una rete per le applicazioni eseguite in Amazon EKS. -
Azioni di lettura
ec2: consente al plugin CNI di Amazon VPC di eseguire azioni come descrivere istanze e sottoreti, così da visualizzare la quantità di indirizzi IP gratuiti nelle sottoreti Amazon VPC. Il CNI di VPC può utilizzare gli indirizzi IP gratuiti in ciascuna sottorete per scegliere le sottoreti con gli indirizzi IP più liberi da utilizzare durante la creazione di un’interfaccia di rete elastica.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazoneks_CNI_Policy nella Managed Policy Reference Guide. AWS
AWS politica gestita: Amazon EKSCluster Policy
È possibile allegare AmazonEKSClusterPolicy alle entità IAM. Prima di creare un cluster, è necessario disporre di un ruolo IAM del cluster con questa policy allegata. I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
autoscaling: leggi e aggiorna la configurazione di un gruppo Auto Scaling. Queste autorizzazioni non sono utilizzate da Amazon EKS, ma rimangono nella policy per la compatibilità con le versioni precedenti. -
ec2: lavora con volumi e risorse di rete associati ai nodi Amazon EC2. Ciò è necessario affinché il piano di controllo (control-plane) Kubernetes possa unire le istanze a un cluster ed eseguire dinamicamente il provisioning e la gestione dei volumi Amazon EBS richiesti dai volumi persistenti di Kubernetes. -
ec2: elimina le interfacce di rete elastiche create da CNI di VPC. Ciò è necessario affinché EKS possa ripulire le interfacce di rete elastiche che rimangono se CNI di VPC si chiude inaspettatamente. -
elasticloadbalancing: lavora con Elastic Load Balancers e aggiunge nodi come destinazioni. Ciò è necessario affinché il piano di controllo Kubernetes possa eseguire dinamicamente il provisioning degli Elastic Load Balancers (load balancer Elastico) richiesti dai servizi Kubernetes. -
iam: crea un ruolo collegato ai servizi. Ciò è necessario affinché il piano di controllo (control-plane) Kubernetes possa eseguire dinamicamente il provisioning degli Elastic Load Balancer richiesti dai servizi Kubernetes. -
kms— Leggi una chiave da KMS. AWS Questa attività è necessaria affinché il piano di controllo (control-plane) Kubernetes supporti la crittografia dei segretidi Kubernetes archiviati in etcd.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSCluster Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSDashboard ConsoleReadOnly
È possibile collegare AmazonEKSDashboardConsoleReadOnly alle entità IAM.
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
eks: accesso in sola lettura ai dati, alle risorse e alle informazioni sulle versioni del cluster della dashboard EKS. Ciò consente di visualizzare le metriche relative a EKS e i dettagli di configurazione del cluster. -
organizations- Accesso in sola lettura alle informazioni di AWS Organizations, tra cui:-
visualizzazione dei dettagli dell’organizzazione e dell’accesso al servizio
-
elenco delle root organizzative, degli account e delle unità organizzative
-
Visualizzazione della struttura dell’organizzazione
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSDashboard ConsoleReadOnly nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSFargate PodExecutionRolePolicy
È possibile allegare AmazonEKSFargatePodExecutionRolePolicy alle entità IAM. Prima di poter creare un profilo Fargate, è necessario creare un ruolo di esecuzione del pod Fargate e allegare questa policy ad esso. Per ulteriori informazioni, consultare Fase 2: creare un ruolo di esecuzione del pod Fargate e Definisci quali pod utilizzano AWS Fargate durante l’avvio.
Questa politica concede al ruolo le autorizzazioni che forniscono l'accesso ad altre risorse di AWS servizio necessarie per eseguire Amazon EKS Pods su Fargate.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ecr: consente ai pod in esecuzione su Fargate di estrarre le immagini del container memorizzate in Amazon ECR.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSFargate PodExecutionRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSConnector ServiceRolePolicy
Non è possibile allegare AmazonEKSConnectorServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Utilizzo di ruoli per connettere un cluster Kubernetes ad Amazon EKS.
Il ruolo consente ad Amazon EKS di collegarsi ai cluster Kubernetes. Le policy allegate consentono al ruolo di gestire le risorse necessarie per connettersi al cluster Kubernetes registrato.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
SSM Management— Crea, descrivi ed elimina le attivazioni SSM e annulla la registrazione delle istanze gestite. Ciò consente le operazioni di base di Systems Manager. -
Session Management— Avvia sessioni SSM specifiche per i cluster EKS ed esegui comandi non interattivi utilizzando il documento AmazonEks. -
IAM Role Passing— Passa i ruoli IAM specificamente al servizio SSM, controllato da una condizione che limita i ruoli passati a.ssm.amazonaws.com -
EventBridge Rules— Crea EventBridge regole e obiettivi, ma solo se gestiti da.eks-connector.amazonaws.com.rproxy.govskope.caLe regole sono specificamente limitate a AWS SSM come fonte dell'evento.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSConnector ServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSFor FargateServiceRolePolicy
Non è possibile allegare AmazonEKSForFargateServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta AWSServiceRoleforAmazonEKSForFargate.
Questa policy concede ad Amazon EKS le autorizzazioni necessarie per eseguire le attività di Fargate. La policy viene utilizzato solo se si dispone di nodi Fargate.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
ec2: crea ed elimina interfacce di rete elastiche e descrive le interfacce di rete elastiche e le risorse. Questa operazione è necessaria affinché il servizio Fargate di Amazon EKS possa configurare la rete VPC necessaria per i pod Fargate.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSFor FargateServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSCompute Policy
È possibile collegare AmazonEKSComputePolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy concede le autorizzazioni necessarie ad Amazon EKS per creare e gestire istanze EC2 per il cluster EKS e le autorizzazioni IAM necessarie per configurare EC2. Inoltre, questa policy concede ad Amazon EKS le autorizzazioni per creare il ruolo collegato al servizio Spot EC2 per conto dell’utente.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
Autorizzazioni
ec2:-
ec2:CreateFleeteec2:RunInstances: consente la creazione di istanze EC2 e l’utilizzo di risorse EC2 specifiche (immagini, gruppi di sicurezza, sottoreti) per i nodi del cluster EKS. -
ec2:CreateLaunchTemplate: consente di creare modelli di lancio EC2 per i nodi del cluster EKS. -
La policy include anche condizioni per limitare l’utilizzo di queste autorizzazioni EC2 alle risorse contrassegnate con il nome del cluster EKS e altri tag pertinenti.
-
ec2:CreateTags: consente di aggiungere tag alle risorse EC2 create dalle azioniCreateFleet,RunInstanceseCreateLaunchTemplate.
-
-
Autorizzazioni
iam:-
iam:AddRoleToInstanceProfile: consente di aggiungere un ruolo IAM al profilo dell’istanza di calcolo EKS. -
iam:PassRole: consente di passare i ruoli IAM necessari al servizio EC2.
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSCompute Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSNetworking Policy
È possibile collegare AmazonEKSNetworkingPolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy è progettata per concedere le autorizzazioni necessarie ad Amazon EKS per creare e gestire interfacce di rete per il cluster EKS, consentendo al piano di controllo e ai nodi worker di comunicare e funzionare correttamente.
Dettagli delle autorizzazioni
Questa policy concede le seguenti autorizzazioni per consentire ad Amazon EKS di gestire le interfacce di rete per il cluster:
-
Autorizzazioni dell’interfaccia di rete
ec2-
ec2:CreateNetworkInterface: consente la creazione di interfacce di rete EC2. -
La policy include condizioni per limitare l’utilizzo di questa autorizzazione alle interfacce di rete contrassegnate con il nome del cluster EKS e il nome del nodo CNI di Kubernetes.
-
ec2:CreateTags: consente di aggiungere tag alle interfacce di rete create dall’azioneCreateNetworkInterface.
-
-
Autorizzazioni di gestione delle interfacce di rete
ec2:-
ec2:AttachNetworkInterface,ec2:DetachNetworkInterface: consente di collegare e scollegare interfacce di rete alle istanze EC2. -
ec2:UnassignPrivateIpAddresses,ec2:UnassignIpv6Addresses,ec2:AssignPrivateIpAddresses,ec2:AssignIpv6Addresses: consente di gestire le assegnazioni degli indirizzi IP delle interfacce di rete. -
Tali autorizzazioni sono limitate alle interfacce di rete contrassegnate con il nome del cluster EKS.
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSNetworking Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSBlock StoragePolicy
È possibile collegare AmazonEKSBlockStoragePolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy concede le autorizzazioni necessarie ad Amazon EKS per creare, gestire e mantenere volumi e snapshot EC2 per il cluster EKS, consentendo al piano di controllo e ai nodi worker di fornire e utilizzare l’archiviazione persistente come richiesto dai carichi di lavoro Kubernetes.
Dettagli delle autorizzazioni
Questa policy IAM concede le seguenti autorizzazioni per consentire ad Amazon EKS di gestire volumi e snapshot EC2:
-
Autorizzazioni per la gestione dei volumi
ec2:-
ec2:AttachVolume,ec2:DetachVolume,ec2:ModifyVolume,ec2:EnableFastSnapshotRestores: consente di allegare, scollegare, modificare e abilitare ripristini rapidi di snapshot per i volumi EC2. -
Queste autorizzazioni sono limitate ai volumi contrassegnati con il nome del cluster EKS.
-
ec2:CreateTags: consente di aggiungere tag ai volumi e agli snapshot di EC2 creati dalle azioniCreateVolumeeCreateSnapshot.
-
-
Autorizzazioni per la creazione di volumi
ec2:-
ec2:CreateVolume: consente la creazione di nuovi volumi EC2. -
La policy include condizioni per limitare l’utilizzo di questa autorizzazione a volumi contrassegnati con il nome del cluster EKS e altri tag pertinenti.
-
ec2:CreateSnapshot: consente la creazione di nuovi snapshot di volumi EC2. -
La policy include condizioni per limitare l’utilizzo di questa autorizzazione agli snapshot contrassegnati con il nome del cluster EKS e altri tag pertinenti.
-
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSBlock StoragePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSLoad BalancingPolicy
È possibile collegare AmazonEKSLoadBalancingPolicy alle entità IAM. È possibile allegare questa policy al ruolo IAM del cluster per espandere le risorse che EKS può gestire nel tuo account.
Questa policy IAM concede le autorizzazioni necessarie ad Amazon EKS per lavorare con vari AWS servizi per gestire Elastic Load Balancers (ELBs) e risorse correlate.
Dettagli delle autorizzazioni
Le autorizzazioni principali concesse da questa policy sono:
-
elasticloadbalancing: consente di creare, modificare e gestire Elastic Load Balancer e gruppi di destinazione. Ciò include le autorizzazioni per creare, aggiornare ed eliminare bilanciatori del carico, gruppi di destinazione, listener e regole. -
ec2: consente di creare e gestire gruppi di sicurezza, necessari al piano di controllo Kubernetes per unire le istanze a un cluster e gestire i volumi Amazon EBS. Consente inoltre di descrivere ed elencare risorse EC2 come istanze, sottoreti VPCs, gruppi di sicurezza e altre risorse di rete. -
iam: consente di creare un ruolo collegato al servizio per Elastic Load Balancing, necessario per il provisioning dinamico del piano di controllo Kubernetes. ELBs -
kms: Consente la lettura di una chiave da AWS KMS, necessaria affinché il piano di controllo di Kubernetes supporti la crittografia dei segreti Kubernetes archiviati in etcd. -
wafv2eshield: Consente di associare e dissociare Web e di ACLs creare/eliminare le protezioni AWS Shield per Elastic Load Balancers. -
cognito-idp,acmeelasticloadbalancing: concede le autorizzazioni per descrivere i client del pool di utenti, elencare e descrivere i certificati, e descrivere i gruppi di destinazione, necessari al piano di controllo di Kubernetes per gestire gli Elastic Load Balancer.
La policy include anche diversi controlli delle condizioni per garantire che le autorizzazioni rientrino nell’ambito dello specifico cluster EKS gestito, utilizzando il tag eks:eks-cluster-name.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSLoad BalancingPolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSMCPRead OnlyAccess
È possibile collegare AmazonEKSMCPReadOnlyAccess alle entità IAM. Questa policy fornisce l'accesso in sola lettura alle risorse di Amazon EKS e ai AWS servizi correlati, consentendo al server Amazon EKS Model Context Protocol (MCP) di eseguire operazioni di osservabilità e risoluzione dei problemi senza apportare modifiche all'infrastruttura.
Dettagli delle autorizzazioni
Questa politica include le seguenti autorizzazioni che consentono ai responsabili di completare le seguenti attività:
-
eksConsente ai responsabili di descrivere ed elencare cluster EKS, gruppi di nodi, componenti aggiuntivi, voci di accesso, approfondimenti e accedere all'API Kubernetes per operazioni di sola lettura. -
iamConsente ai responsabili di recuperare informazioni sui ruoli, le policy e i relativi allegati IAM per comprendere le autorizzazioni associate alle risorse EKS. -
ec2Consente ai principali di descrivere VPCs, alle sottoreti e alle tabelle di routing per comprendere la configurazione di rete dei cluster EKS. -
stsConsente ai responsabili di recuperare le informazioni sull'identità del chiamante per scopi di autenticazione e autorizzazione. -
logsConsente ai responsabili di avviare query e recuperare i risultati delle query dai CloudWatch registri per la risoluzione dei problemi e il monitoraggio. -
cloudwatchConsente ai responsabili di recuperare i dati metrici per il monitoraggio delle prestazioni del cluster e del carico di lavoro. -
eks-mcpConsente ai responsabili di richiamare operazioni MCP e richiamare strumenti di sola lettura all'interno del server MCP Amazon EKS.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSMCPRead OnlyAccess nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSService Policy
È possibile collegare AmazonEKSServicePolicy alle entità IAM. I cluster creati prima del 16 aprile 2020 richiedono all'utente di creare un ruolo IAM e allegarvi questa policy. I cluster creati a partire dal 16 aprile 2020 non richiedono la creazione di un ruolo e non richiedono l’assegnazione di questa policy. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, il ruolo AWSServiceRoleforAmazonEKS collegato ai servizi viene creato automaticamente per te. Al ruolo collegato ai servizi è EKSService RolePolicy associata la policy gestita: Amazon.
Questa policy consente ad Amazon EKS di creare e gestire le risorse necessarie per gestire i cluster Amazon EKS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
eks: aggiorna la versione Kubernetes del cluster dopo aver avviato un aggiornamento. Questa autorizzazione non è utilizzata da Amazon EKS, ma rimane nella policy per la compatibilità con le versioni precedenti. -
ec2: lavora con le interfacce di rete elastiche e altre risorse e tag di rete. Ciò è richiesto da Amazon EKS per configurare la rete che facilita la comunicazione tra i nodi e il piano di controllo Kubernetes. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza. -
route53: associa un VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete di endpoint privati per il server API del cluster Kubernetes. -
logs: registra eventi. Ciò è necessario per consentire ad Amazon EKS di spedire i log del piano di controllo Kubernetes a. CloudWatch -
iam: crea un ruolo collegato ai servizi. Questa operazione è necessaria affinché Amazon EKS possa creare il ruolo collegato al servizio Autorizzazioni del ruolo collegato ai servizi per Amazon EKS per conto dell'utente.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSService Policy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSService RolePolicy
Non è possibile allegare AmazonEKSServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, il ruolo AWSServiceRoleforAmazonEKS collegato ai servizi viene creato automaticamente per te e questa policy gli viene allegata.
Questa policy consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le seguenti attività.
-
ec2: crea e descrive le interfacce di rete elastiche e le istanze di Amazon EC2, il gruppo di sicurezza del cluster e i VPC necessari per la creazione del cluster. Per ulteriori informazioni, consulta Visualizzazione dei requisiti relativi al gruppo di sicurezza Amazon EKS per cluster. Leggi le informazioni sui gruppi di sicurezza. Aggiorna i tag sui gruppi di sicurezza. Leggi informazioni sulle prenotazioni della capacità on demand. Leggi la configurazione del VPC, comprese le tabelle di routing e la rete, ACLs per rilevare i problemi di configurazione nell'ambito di Cluster Insights. -
Modalità automatica
ec2: termina le istanze EC2 create dalla modalità automatica EKS. Per ulteriori informazioni, consulta Automate cluster infrastructure with EKS Auto Mode. -
iam: elenca tutti i criteri gestiti allegati a un ruolo IAM. Ciò è necessario affinché Amazon EKS possa pubblicare e convalidare tutte le politiche gestite e le autorizzazioni necessarie per la creazione di un cluster. -
Associa un VPC a una zona ospitata. Ciò è richiesto da Amazon EKS per abilitare la rete di endpoint privati per il server API del cluster Kubernetes.
-
Evento di registro: è necessario per consentire ad Amazon EKS di inviare i log del piano di controllo Kubernetes a. CloudWatch
-
Metrica metrica: è necessaria per consentire ad Amazon EKS di inviare i log del piano di controllo Kubernetes a. CloudWatch
-
eks: gestisci le voci e le politiche di accesso ai cluster, permettendo un controllo granulare su chi può accedere alle risorse EKS e quali azioni può eseguire. Ciò include l’associazione di policy di accesso standard per operazioni di elaborazione, rete, bilanciamento del carico e archiviazione. -
elasticloadbalancing: crea, gestisci ed elimina i bilanciatori del carico e i relativi componenti (listener, gruppi di destinazione, certificati) associati ai cluster EKS. Visualizza gli attributi e lo stato di integrità del bilanciatore del carico. -
events- Crea e gestisci EventBridge regole per il monitoraggio degli eventi EC2 e AWS Health relativi ai cluster EKS, abilitando risposte automatiche ai cambiamenti dell'infrastruttura e agli avvisi sullo stato. -
iam: gestisci i profili delle istanze EC2 con il prefisso “eks”, inclusa la creazione, l’eliminazione e l’associazione dei ruoli, necessarie per la gestione dei nodi EKS. Consente di descrivere qualsiasi profilo di istanza per consentire agli utenti di definire profili di istanza personalizzati da utilizzare per i nodi di lavoro. -
pricingshield- Accedi alle informazioni AWS sui prezzi e allo stato di protezione Shield, abilitando la gestione dei costi e funzionalità di sicurezza avanzate per le risorse EKS. -
Pulizia delle risorse: elimina in modo sicuro le risorse con tag EKS, inclusi volumi, snapshot, modelli di avvio e interfacce di rete durante le operazioni di pulizia dei cluster.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSService RolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSVPCResource Controller
È possibile allegare la policy AmazonEKSVPCResourceController alle identità IAM. Se utilizzi gruppi di sicurezza per pod, dovrai allegare questa policy al ruolo IAM del cluster Amazon EKS perché possa eseguire operazioni per tuo conto.
Questa policy concede le autorizzazioni del ruolo cluster per gestire le interfacce di rete elastiche e gli indirizzi IP per i nodi.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2: gestisci le interfacce di rete elastiche e gli indirizzi IP per supportare i gruppi di sicurezza dei pod e i nodi Windows.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSVPCResource Controller nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSWorker NodePolicy
É possibile allegare la AmazonEKSWorkerNodePolicy alle entità IAM. È necessario allegare questa policy a un Ruolo IAM del nodo che va specificato quando si creano nodi Amazon EC2 che consentono ad Amazon EKS di eseguire operazioni per conto dell'utente. Se si crea un gruppo di nodi utilizzando eksctl, si crea il ruolo IAM del nodo e si allega automaticamente questa policy al ruolo.
Questa policy concede ai nodi Amazon EKS Amazon EC2 le autorizzazioni per connettersi ai cluster Amazon EKS.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2: leggi le informazioni sul volume dell’istanza e sulla rete. Ciò è necessario affinché i nodi Kubernetes possano descrivere le informazioni sulle risorse Amazon EC2 necessarie per l'unione del nodo al cluster Amazon EKS. -
eks: descrivi in modo facoltativo il cluster come parte del bootstrap del nodo. -
eks-auth:AssumeRoleForPodIdentity: consenti il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSWorker NodePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSWorker NodeMinimalPolicy
Puoi collegare WorkerNodeMinimalPolicy AmazonEks alle tue entità IAM. È necessario allegare questa policy a un ruolo IAM del nodo che deve essere specificato quando si creano nodi Amazon EC2 che consentono ad Amazon EKS di eseguire operazioni per conto dell’utente.
Questa policy concede ai nodi Amazon EKS Amazon EC2 le autorizzazioni per connettersi ai cluster Amazon EKS. Questa politica ha meno autorizzazioni rispetto ad Amazon EKSWorkerNodePolicy.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
eks-auth:AssumeRoleForPodIdentity: consenti il recupero delle credenziali per i carichi di lavoro EKS sul nodo. Ciò è necessario per il funzionamento di EKS Pod Identity.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSWorker NodePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: AWSService RoleForAmazon EKSNodegroup
Non è possibile allegare AWSServiceRoleForAmazonEKSNodegroup alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS.
Questa policy concede l'autorizzazione ai ruoli AWSServiceRoleForAmazonEKSNodegroup che consentono di creare e gestire gruppi di nodi Amazon EC2 nell'account.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
ec2: lavora con gruppi di sicurezza, tag, prenotazioni della capacità e modelli di avvio. Ciò è necessario per i gruppi di nodi gestiti da Amazon EKS per abilitare la configurazione dell’accesso remoto e descrivere le prenotazioni della capacità che possono essere utilizzate nei gruppi di nodi gestiti. Inoltre, i gruppi di nodi gestiti da Amazon EKS creano un modello di avvio per conto dell'utente. Questo consente di configurare il gruppo Amazon EC2 Auto Scaling che supporta ogni gruppo di nodi gestito. -
iam: crea un ruolo collegato ai servizi e passa un ruolo. Ciò è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire i profili di istanza per il ruolo passato durante la creazione di un gruppo di nodi gestito. Questo profilo dell'istanza viene utilizzato dalle istanze Amazon EC2 avviate come parte di un gruppo di nodi gestito. Amazon EKS deve creare ruoli collegati al servizio per altri servizi come, ad esempio i gruppi di Amazon EC2 Auto Scaling. Queste autorizzazioni vengono utilizzate nella creazione di un gruppo di nodi gestito. -
autoscaling: lavora con gruppi Auto Scaling di sicurezza. Questo è richiesto dai gruppi di nodi gestiti da Amazon EKS per gestire il gruppo di Amazon EC2 Auto Scaling che supporta ciascun gruppo di nodi gestito. Viene anche utilizzato per supportare funzionalità come l'eliminazione dei Pod quando i nodi vengono terminati o il riciclo durante gli aggiornamenti dei gruppi di nodi e la gestione dei pool caldi configurati su gruppi di nodi gestiti.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta la Managed Policy Reference Guide AWSServiceRoleForAmazonEKSNodegroup. AWS
AWS politica gestita: Amazon EKSDashboard ServiceRolePolicy
Non è possibile allegare AmazonEKSDashboardServiceRolePolicy alle entità IAM. Questa policy è allegata a un ruolo collegato ai servizi che consente ad Amazon EKS di eseguire operazioni per conto dell'utente. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon EKS.
Questa policy concede l'autorizzazione ai ruoli AWSServiceRoleForAmazonEKSDashboard che consentono di creare e gestire gruppi di nodi Amazon EC2 nell'account.
Dettagli dell'autorizzazione
Questa policy include le seguenti autorizzazioni che consentono ad Amazon EKS di completare le attività seguenti:
-
organizations— Visualizza informazioni sulla struttura e sugli account della tua AWS Organizations. Ciò include le autorizzazioni per elencare gli account dell’organizzazione, visualizzare le unità organizzative e le root, elencare gli amministratori delegati, visualizzare i servizi che hanno accesso all’organizzazione e recuperare informazioni dettagliate sull’organizzazione e sugli account.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSDashboard ServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EBSCSIDriver Policy
La AmazonEBSCSIDriverPolicy policy consente al driver Amazon EBS Container Storage Interface (CSI) di creare, modificare, copiare, allegare, scollegare ed eliminare volumi per tuo conto. Ciò include la modifica dei tag sui volumi esistenti e l’abilitazione del ripristino rapido degli snapshot (FSR) sui volumi EBS. Inoltre, concede al driver CSI EBS le autorizzazioni per creare, bloccare, ripristinare ed eliminare istantanee e per elencare istanze, volumi e istantanee.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EBSCSIDriver ServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EFSCSIDriver Policy
LaAmazonEFSCSIDriverPolicyla policy consente all'Amazon EFS Container Storage Interface (CSI) di creare ed eliminare punti di accesso per tuo conto. Concede inoltre al driver CSI di Amazon EFS le autorizzazioni per elencare i punti di accesso, i file system, gli obiettivi di montaggio e le zone di disponibilità di Amazon EC2.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EFSCSIDriver ServiceRolePolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSLocal OutpostClusterPolicy
È possibile collegare questa policy alle entità IAM. Prima di creare un cluster, è necessario allegare questa policy a un ruolo cluster. I cluster Kubernetes gestiti da Amazon EKS effettuano chiamate verso altri AWS servizi per tuo conto. Ciò serve a gestire le risorse utilizzate con il servizio.
La AmazonEKSLocalOutpostClusterPolicy include le autorizzazioni seguenti:
-
Azioni di lettura
ec2: consente alle istanze del piano di controllo di descrivere le proprietà della zona di disponibilità, della tabella di routing, dell’istanza e dell’interfaccia di rete. Autorizzazioni necessarie affinché le istanze Amazon EC2 si uniscano correttamente al cluster come istanze del piano di controllo. -
ssm: consente la connessione di Systems Manager di Amazon EC2 all’istanza del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account. -
logs— Consente alle istanze di inviare i log ad Amazon. CloudWatch -
secretsmanager— Consente alle istanze di ottenere ed eliminare i dati di bootstrap per le istanze del piano di controllo in modo sicuro da Secrets Manager. AWS -
ecr: consente a pod e container in esecuzione sulle istanze del piano di controllo di estrarre le immagini di container memorizzate in Amazon Elastic Container Registry.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSLocal OutpostClusterPolicy nella AWS Managed Policy Reference Guide.
AWS politica gestita: Amazon EKSLocal OutpostServiceRolePolicy
Non è possibile allegare questa policy alle entità IAM. Quando crei un cluster utilizzando un principale IAM che dispone dell'iam:CreateServiceLinkedRoleautorizzazione, Amazon EKS crea automaticamente il ruolo collegato al servizio AWSServiceRoleforAmazonEKSLocalOutpost per te e gli allega questa policy. Questa policy consente al ruolo collegato al servizio di chiamare i AWS servizi per tuo conto per i cluster locali.
La AmazonEKSLocalOutpostServiceRolePolicy include le autorizzazioni seguenti:
-
ec2: consente ad Amazon EKS di utilizzare le risorse di sicurezza, rete e altro tipo per avviare e gestire correttamente le istanze del piano di controllo nel tuo account. -
ssm,ssmmessages: consente la connessione di Amazon EC2 Systems Manager alle istanze del piano di controllo, utilizzata da Amazon EKS per comunicare e gestire il cluster locale nel tuo account. -
iam: consente ad Amazon EKS di gestire il profilo dell’istanza associato alle istanze del piano di controllo. -
secretsmanager- Consente ad Amazon EKS di inserire i dati di bootstrap per le istanze del piano di controllo in AWS Secrets Manager in modo che possano essere referenziati in modo sicuro durante il bootstrap dell'istanza. -
outposts: consente ad Amazon EKS di ottenere le informazioni sull’Outpost dal tuo account per avviare correttamente un cluster locale in un Outpost.
Per visualizzare la versione più recente del documento sulla policy JSON, consulta Amazon EKSLocal OutpostServiceRolePolicy nella AWS Managed Policy Reference Guide.
Amazon EKS si aggiorna alle politiche AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Amazon EKS da quando questo servizio ha iniziato a tracciare queste modifiche.
Per ricevere notifiche di tutte le modifiche al file di origine di questa pagina di documentazione specifica, puoi iscriverti al seguente URL con un lettore RSS:
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
| Modifica | Descrizione | Data |
|---|---|---|
|
Aggiunte autorizzazioni a AWS politica gestita: AWSService RoleForAmazon EKSNodegroup. |
Aggiunti |
17 febbraio 2026 |
|
Autorizzazione aggiunta a AWS politica gestita: Amazon EKSService RolePolicy. |
È stato rimosso il requisito del prefisso «eks» nel nome del profilo dell'istanza di destinazione per l'autorizzazione in. |
2 febbraio 2026 |
|
Sono state aggiunte le autorizzazioni ad Amazon EBSCSIDriver Policy. |
È stata aggiunta |
15 gennaio 2026 |
|
Introdotto AWS politica gestita: Amazon EKSMCPRead OnlyAccess. |
Amazon EKS ha introdotto una nuova policy gestita |
21 novembre 2025 |
|
Sono state aggiunte le autorizzazioni ad Amazon EBSCSIDriver Policy. |
È stata aggiunta |
17 novembre 2025 |
|
Autorizzazione aggiunta a AWS politica gestita: Amazon EKSService RolePolicy. |
Aggiunte |
22 ottobre 2025 |
|
Aggiunta l’autorizzazione a AWSServiceRoleForAmazonEKSConnector |
È stata aggiunta |
15 ottobre 2025 |
|
Aggiunta l’autorizzazione a AWS politica gestita: Amazon EKSService RolePolicy |
Questo ruolo può allegare una nuova policy di accesso |
26 agosto 2025 |
|
Aggiunta l’autorizzazione a AWS politica gestita: Amazon EKSLocal OutpostServiceRolePolicy |
Aggiunta l’autorizzazione |
26 giugno 2025 |
|
Aggiunta l’autorizzazione a AWS politica gestita: Amazon EKSCompute Policy. |
Autorizzazioni aggiornate per le risorse |
20 giugno 2025 |
|
È stata aggiunta l'autorizzazione ad Amazon EKSService RolePolicy. |
È stata aggiunta l’autorizzazione |
20 giugno 2025 |
|
Introdotto AWS politica gestita: Amazon EKSDashboard ConsoleReadOnly. |
È stata introdotta una nuova policy |
19 giugno 2025 |
|
Introdotto AWS politica gestita: Amazon EKSDashboard ServiceRolePolicy. |
È stata introdotta una nuova policy |
21 maggio 2025 |
|
Sono state aggiunte le autorizzazioni ad Amazon EKSCluster Policy. |
È stata aggiunta l’autorizzazione |
16 aprile 2025 |
|
È stata aggiunta l'autorizzazione ad Amazon EKSService RolePolicy. |
Sono state aggiunte |
14 aprile 2025 |
|
Autorizzazioni aggiunte ad Amazon EKSService RolePolicy. |
Aggiunta l’autorizzazione per terminare le istanze EC2 create dalla modalità automatica di EKS. |
28 febbraio 2025 |
|
Sono state aggiunte le autorizzazioni ad Amazon EBSCSIDriver Policy. |
È stata aggiunta una nuova dichiarazione che autorizza il driver CSI EBS a ripristinare tutti gli snapshot. Ciò era precedentemente consentito dalla policy esistente, ma è necessaria una nuova dichiarazione esplicita per via di una modifica nella gestione di IAM per È stata aggiunta la possibilità per il driver CSI EBS di modificare i tag sui volumi esistenti. Il driver CSI EBS può modificare i tag dei volumi esistenti tramite un parametro in Kubernetes. VolumeAttributesClasses È stata aggiunta la possibilità per il driver CSI EBS di abilitare il ripristino rapido degli snapshot (FSR) sui volumi EBS. Il driver CSI EBS può abilitare FSR su nuovi volumi tramite parametri nelle classi di archiviazione Kubernetes. |
13 gennaio 2025 |
|
Aggiunte autorizzazioni a AWS politica gestita: Amazon EKSLoad BalancingPolicy. |
Aggiornato |
26 dicembre 2024 |
|
Aggiunte autorizzazioni a AWS politica gestita: AWSService RoleForAmazon EKSNodegroup. |
Aggiornato |
22 novembre 2024 |
|
Aggiunte autorizzazioni a AWS politica gestita: Amazon EKSLocal OutpostClusterPolicy |
È stata aggiunta l' |
21 novembre 2024 |
|
Aggiunte autorizzazioni a AWS politica gestita: AWSService RoleForAmazon EKSNodegroup. |
Policy |
20 novembre 2024 |
|
Aggiunte autorizzazioni a AWS politica gestita: Amazon EKSService RolePolicy. |
Politica AWS gestita aggiornata da EKS |
16 novembre 2024 |
|
Introdotto AWS politica gestita: Amazon EKSCompute Policy. |
Politica AWS gestita aggiornata da EKS |
7 novembre 2024 |
|
Introdotto AWS politica gestita: Amazon EKSCompute Policy. |
AWS ha introdotto il |
1 novembre 2024 |
|
Aggiunte autorizzazioni a |
Aggiunta l’autorizzazione |
1 novembre 2024 |
|
Introdotto AWS politica gestita: Amazon EKSBlock StoragePolicy. |
AWS ha introdotto il |
30 ottobre 2024 |
|
Introdotto AWS politica gestita: Amazon EKSLoad BalancingPolicy. |
AWS ha introdotto il |
30 ottobre 2024 |
|
Autorizzazioni aggiunte ad Amazon EKSService RolePolicy. |
Sono state aggiunte |
29 ottobre 2024 |
|
Introdotto AWS politica gestita: Amazon EKSNetworking Policy. |
AWS ha introdotto il. |
28 ottobre 2024 |
|
Aggiunte autorizzazioni a |
Aggiunte autorizzazione |
10 ottobre 2024 |
|
Presentato Amazon EKSWorker NodeMinimalPolicy. |
AWS ha introdotto il |
3 ottobre 2024 |
|
Aggiunte autorizzazioni a AWSServiceRoleForAmazonEKSNodegroup. |
Aggiunte le autorizzazioni |
21 agosto 2024 |
|
Aggiunte autorizzazioni a AWSServiceRoleForAmazonEKSNodegroup. |
Aggiunta l’autorizzazione |
27 giugno 2024 |
|
AmazonEKS_CNI_Policy: aggiornamento a una policy esistente |
Amazon EKS ha aggiunto nuove autorizzazioni |
4 marzo 2024 |
|
Amazon EKSWorker NodePolicy: aggiornamento a una politica esistente |
Amazon EKS ha aggiunto nuove autorizzazioni per consentire le associazioni EKS Pod Identity. Amazon EKS Pod Identity Agent utilizza il ruolo del nodo. |
26 novembre 2023 |
|
Introduzione EFSCSIDriverdella politica Amazon. |
AWS ha introdotto il |
26 luglio 2023 |
|
Sono state aggiunte le autorizzazioni ad Amazon EKSCluster Policy. |
È stata aggiunta l'autorizzazione |
7 febbraio 2023 |
|
Condizioni politiche aggiornate in Amazon EBSCSIDriver Policy. |
Sono state rimosse condizioni della policy non valide con caratteri jolly nel campo chiave |
17 novembre 2022 |
|
Autorizzazioni aggiunte ad Amazon EKSLocal OutpostServiceRolePolicy. |
Aggiunti |
24 ottobre 2022 |
|
Aggiorna le autorizzazioni di Amazon Elastic Container Registry in Amazon EKSLocal OutpostClusterPolicy. |
L'azione |
20 ottobre 2022 |
|
Autorizzazioni aggiunte ad Amazon EKSLocal OutpostClusterPolicy. |
È stato aggiunto il repository |
31 agosto 2022 |
|
Presentato Amazon EKSLocal OutpostClusterPolicy. |
AWS ha introdotto il |
24 agosto 2022 |
|
Presentato Amazon EKSLocal OutpostServiceRolePolicy. |
AWS ha introdotto il |
23 agosto 2022 |
|
Introduzione EBSCSIDriverdella politica Amazon. |
AWS ha introdotto il |
4 aprile 2022 |
|
Autorizzazioni aggiunte ad Amazon EKSWorker NodePolicy. |
|
21 marzo 2022 |
|
Aggiunte autorizzazioni a AWSServiceRoleForAmazonEKSNodegroup. |
Aggiunta l'autorizzazione |
13 dicembre 2021 |
|
Sono state aggiunte le autorizzazioni ad Amazon EKSCluster Policy. |
Aggiunta delle autorizzazioni |
17 giugno 2021 |
|
Amazon EKS ha iniziato a monitorare le modifiche |
Amazon EKS ha iniziato a tracciare le modifiche per le sue politiche AWS gestite. |
17 giugno 2021 |
