**이 페이지 개선에 도움 주기** 

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 **GitHub에서 이 페이지 편집** 링크를 선택합니다.

# Kubernetes API에 대한 쓰기 액세스 권한을 AWS 서비스에 부여
<a name="mutate-kubernetes-resources"></a>

## 필수 권한
<a name="mutate-kubernetes-resources-permissions"></a>

AWS 서비스가 Amazon EKS 클러스터의 Kubernetes 리소스에서 쓰기 작업을 수행할 수 있도록 하려면 `eks:AccessKubernetesApi` 및 `eks:MutateViaKubernetesApi` IAM 권한을 모두 부여해야 합니다.

예를 들어 Amazon SageMaker HyperPod는 이러한 권한을 사용하여 SageMaker AI Studio에서 모델 배포를 지원합니다. 자세한 내용은 Amazon SageMaker AI 개발자 안내서의 [Set up optional JavaScript SDK permissions](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html#sagemaker-hyperpod-model-deployment-setup-optional-js)를 참조하세요.

**중요**  
생성, 업데이트 및 삭제와 같은 쓰기 작업에는 두 권한이 모두 필요합니다. 두 권한 중 하나가 누락된 경우 쓰기 작업에 실패합니다.

## CloudTrail 가시성
<a name="cloudtrail-visibility"></a>

Kubernetes 리소스에서 쓰기 작업을 수행하는 동안 CloudTrail 로그에 특정 작업 이름이 표시됩니다.
+  `createKubernetesObject` - 새 리소스를 생성하는 경우
+  `updateKubernetesObject` - 기존 리소스를 수정하는 경우
+  `deleteKubernetesObject` - 리소스를 제거하는 경우

이러한 CloudTrail 이벤트는 Kubernetes 리소스에서 수정된 모든 사항에 대한 자세한 감사 추적을 제공합니다.

**참고**  
이러한 작업 이름은 감사 목적으로만 CloudTrail 로그에 표시됩니다. 이는 IAM 작업이 아니며 IAM 정책 설명에 사용할 수 없습니다. IAM 정책을 통해 Kubernetes 리소스에 대한 쓰기 액세스를 제어하려면 [필수 권한](#mutate-kubernetes-resources-permissions) 섹션에 표시된 `eks:MutateViaKubernetesApi` 권한을 사용합니다.