# Amazon EKS와 통합
<a name="EKS-Integration"></a>

CloudWatch 조사 기능의 조사 그룹은 Amazon EKS 클러스터에서 직접 정보를 활용할 수 있습니다. 시작하려면 먼저 `Investigation Group` IAM 역할에 대한 액세스 권한을 부여합니다. CloudWatch 조사 기능의 조사 그룹에 클러스터의 리소스에 대한 액세스 권한을 부여하는 기본 AWS 관리형 *액세스 정책*인 `AmazonAIOpsAssistantPolicy`를 사용하는 것이 좋습니다. 이 정책을 사용하면 필요할 때 정책 업데이트가 자동으로 다운로드됩니다.

**참고**  
`AmazonAIOpsAssistantPolicy`는 액세스 정책입니다. CloudWatch 조사 기능과 연결된 액세스 권한을 부여하는 AWS 관리형 자격 증명 정책은 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)입니다.

**고급 구성** 옵션을 사용하여 액세스 정책에서 제공하는 액세스 범위를 네임스페이스 세트 또는 전체 클러스터로 좁힙니다. 또는 액세스 항목을 Kubernetes 그룹 RBAC 권한에 연결하여 액세스 범위를 더 좁힐 수 있습니다. 자세한 내용은 [액세스 항목 생성](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html)을 참조하세요.

## Amazon EKS 액세스 항목 구성(콘솔)
<a name="EKS-Access-Entries-Console"></a>

AWS Management Console을 사용하여 조사 역할에 `AmazonAIOpsAssistantPolicy`를 연결하려면 다음 단계를 따르세요.

1. CloudWatch 콘솔을 열고 조사 구성 페이지로 이동하세요.

1. Amazon EKS 액세스 섹션에서 `AmazonAIOpsAssistantPolicy`를 조사 역할과 연결하는 옵션을 선택하세요.

1. 정책 세부 정보를 검토하고 연결을 확인하세요.

액세스 범위를 추가로 사용자 지정하는 방법:

1. Amazon EKS 액세스 섹션에서 **고급 구성**을 클릭하세요.

1. 그러면 Amazon CloudWatch 콘솔로 리디렉션됩니다.

1. Amazon EKS 콘솔에서 다음을 수행할 수 있습니다.

   1. 정책 범위를 특정 네임스페이스로 지정

   1. 보다 세분화된 액세스 제어를 위해 그룹 기능 구성

## Amazon EKS 액세스 항목 구성(CDK)
<a name="EKS-Access-Entries-CDK"></a>

AWS CDK를 사용하여 Amazon EKS 액세스 항목을 구성하려면 다음 코드 예제를 사용합니다.

```
    const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
        cluster: eksCluster,
        principal: investigationsIamRole.roleArn,
        accessPolicies: [
            AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
                accessScopeType: AccessScopeType.CLUSTER
            }),
        ],
    });
```

## AmazonAIOpsAssistantPolicy
<a name="AmazonAIOpsAssistantPolicy"></a>

Amazon EKS 액세스 정책(`AmazonAIOpsAssistantPolicy`)은 클러스터의 리소스에 대한 포괄적인 읽기 전용 액세스를 제공합니다. 각 리소스의 정보는 현재 CloudWatch 조사에서 사용하지 않을 수도 있습니다.

```
    - apiGroups: [""]
      resources:
        - pods
        - pods/log
        - services
        - nodes
        - namespaces
        - events
        - persistentvolumes
        - persistentvolumeclaims
        - configmaps
      verbs:
        - get
        - list

    - apiGroups: ["apps"]
      resources:
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
      verbs:
        - get
        - list

    - apiGroups: ["batch"]
      resources:
        - jobs
        - cronjobs
      verbs:
        - get
        - list

    - apiGroups: ["events.k8s.io"]
      resources:
        - events
      verbs:
        - get
        - list

    - apiGroups: ["networking.k8s.io"]
      resources:
        - ingresses
        - ingressclasses
      verbs:
        - get
        - list

    - apiGroups: ["storage.k8s.io"]
      resources:
        - storageclasses
      verbs:
        - get
        - list

    - apiGroups: ["metrics.k8s.io"]
      resources:
        - pods
        - nodes
      verbs:
        - get
        - list
```

## AmazonAIOpsAssistantPolicy에 대한 업데이트
<a name="AmazonAIOpsAssistantPolicy-Updates"></a>


| 변경 | 설명 | 날짜 | 
| --- | --- | --- | 
| CloudWatch 조사에 대한 정책 추가 | AmazonAIOpsAssistantPolicy의 최초 릴리스 | 2025년 8월 9일 |