# Integração com o Amazon EKS
Os grupos de investigações do CloudWatch podem utilizar informações diretamente do cluster do Amazon EKS. Para começar, primeiro conceda acesso ao perfil do IAM `Investigation Group`. Recomendamos usar a *política de acesso* gerenciada pela AWS `AmazonAIOpsAssistantPolicy`, que concede aos grupos de investigações do recurso de investigações do CloudWatch acesso aos recursos do cluster. Ao usar essa política, você receberá automaticamente atualizações de políticas conforme necessário.
**nota**
`AmazonAIOpsAssistantPolicy` é uma política de acesso. A política de identidade gerenciada pela AWS que autoriza o acesso associado aos grupos de investigações do recurso de investigações do CloudWatch é a [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html).
Use a opção **Configuração avançada** para reduzir o escopo do acesso fornecido pela política de acesso a um conjunto de namespaces ou a todo o cluster. Como alternativa, você pode reduzir ainda mais o acesso associando a entrada de acesso a uma permissão RBAC do grupo do Kubernetes. Para obter mais informações, consulte [Criar entradas de acesso](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html).
## Configuração da entrada de acesso do Amazon EKS (console)
Para associar a política `AmazonAIOpsAssistantPolicy` ao perfil de investigação usando o Console de Gerenciamento da AWS, siga estas etapas:
1. Abra o console do CloudWatch e navegue até a página Configuração de investigações.
1. Na seção de acesso do Amazon EKS, selecione a opção de associar a política `AmazonAIOpsAssistantPolicy` ao seu perfil de investigação.
1. Analise os detalhes da política e confirme a associação.
Para personalizar ainda mais o escopo de acesso:
1. Clique em **Configuração avançada** na seção de acesso do Amazon EKS.
1. Você será redirecionado para o console do Amazon EKS.
1. No console do Amazon EKS, você pode:
1. Definir o escopo da política para namespaces específicos
1. Configurar o recurso de grupo para um controle de acesso mais granular
## Configuração de entradas de acesso do Amazon EKS (CDK)
Para configurar as entradas de acesso do Amazon EKS usando o AWS CDK, use o seguinte exemplo de código:
```
const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
cluster: eksCluster,
principal: investigationsIamRole.roleArn,
accessPolicies: [
AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
accessScopeType: AccessScopeType.CLUSTER
}),
],
});
```
## AmazonAIOpsAssistantPolicy
A política de acesso do Amazon EKS, `AmazonAIOpsAssistantPolicy`, fornece acesso abrangente somente leitura aos recursos no cluster. As investigações do CloudWatch talvez não usem informações de todos os recursos no momento.
```
- apiGroups: [""]
resources:
- pods
- pods/log
- services
- nodes
- namespaces
- events
- persistentvolumes
- persistentvolumeclaims
- configmaps
verbs:
- get
- list
- apiGroups: ["apps"]
resources:
- deployments
- replicasets
- statefulsets
- daemonsets
verbs:
- get
- list
- apiGroups: ["batch"]
resources:
- jobs
- cronjobs
verbs:
- get
- list
- apiGroups: ["events.k8s.io"]
resources:
- events
verbs:
- get
- list
- apiGroups: ["networking.k8s.io"]
resources:
- ingresses
- ingressclasses
verbs:
- get
- list
- apiGroups: ["storage.k8s.io"]
resources:
- storageclasses
verbs:
- get
- list
- apiGroups: ["metrics.k8s.io"]
resources:
- pods
- nodes
verbs:
- get
- list
```
## Atualizações na política AmazonAIOpsAssistantPolicy
| Alteração | Descrição | Data |
| --- | --- | --- |
| Adicionar uma política para investigações do CloudWatch | Lançamento inicial de AmazonAIOpsAssistantPolicy | 9 de agosto de 2025 |