Integração com o Amazon EKS
Os grupos de investigações do CloudWatch podem utilizar informações diretamente do cluster do Amazon EKS. Para começar, primeiro conceda acesso ao perfil do IAM Investigation Group. Recomendamos usar a política de acesso gerenciada pela AWS AmazonAIOpsAssistantPolicy, que concede aos grupos de investigações do recurso de investigações do CloudWatch acesso aos recursos do cluster. Ao usar essa política, você receberá automaticamente atualizações de políticas conforme necessário.
nota
AmazonAIOpsAssistantPolicy é uma política de acesso. A política de identidade gerenciada pela AWS que autoriza o acesso associado aos grupos de investigações do recurso de investigações do CloudWatch é a AIOpsAssistantPolicy.
Use a opção Configuração avançada para reduzir o escopo do acesso fornecido pela política de acesso a um conjunto de namespaces ou a todo o cluster. Como alternativa, você pode reduzir ainda mais o acesso associando a entrada de acesso a uma permissão RBAC do grupo do Kubernetes. Para obter mais informações, consulte Criar entradas de acesso.
Configuração da entrada de acesso do Amazon EKS (console)
Para associar a política AmazonAIOpsAssistantPolicy ao perfil de investigação usando o Console de Gerenciamento da AWS, siga estas etapas:
-
Abra o console do CloudWatch e navegue até a página Configuração de investigações.
-
Na seção de acesso do Amazon EKS, selecione a opção de associar a política
AmazonAIOpsAssistantPolicyao seu perfil de investigação. -
Analise os detalhes da política e confirme a associação.
Para personalizar ainda mais o escopo de acesso:
-
Clique em Configuração avançada na seção de acesso do Amazon EKS.
-
Você será redirecionado para o console do Amazon EKS.
-
No console do Amazon EKS, você pode:
-
Definir o escopo da política para namespaces específicos
-
Configurar o recurso de grupo para um controle de acesso mais granular
-
Configuração de entradas de acesso do Amazon EKS (CDK)
Para configurar as entradas de acesso do Amazon EKS usando o AWS CDK, use o seguinte exemplo de código:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
A política de acesso do Amazon EKS, AmazonAIOpsAssistantPolicy, fornece acesso abrangente somente leitura aos recursos no cluster. As investigações do CloudWatch talvez não usem informações de todos os recursos no momento.
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
Atualizações na política AmazonAIOpsAssistantPolicy
| Alteração | Descrição | Data |
|---|---|---|
| Adicionar uma política para investigações do CloudWatch | Lançamento inicial de AmazonAIOpsAssistantPolicy |
9 de agosto de 2025 |
