Analisar permissões da política de acesso

As políticas de acesso incluem rules que contêm verbs (permissões) e resources do Kubernetes. As políticas de acesso não incluem permissões ou recursos do IAM. Semelhantes aos objetos Role e ClusterRole do Kubernetes, as políticas de acesso incluem apenas rules de allow. Não é possível modificar o conteúdo de uma política de acesso. Você não pode criar suas próprias políticas de acesso. Se as permissões nas políticas de acesso não atenderem às suas necessidades, crie objetos RBAC do Kubernetes e especifique nomes de grupos para as entradas de acesso. Para obter mais informações, consulte Criar entradas de acesso. As permissões contidas nas políticas de acesso são semelhantes às permissões nos perfis de clusters do Kubernetes voltados para o usuário. Para obter mais informações, consulte User-facing roles na documentação do Kubernetes.

Listagem de todas as políticas

Use qualquer uma das políticas de acesso listadas nesta página ou recupere uma lista de todas as políticas de acesso disponíveis usando a AWS CLI:


aws eks list-access-policies

A saída esperada deve ser semelhante a esta (abreviada por brevidade):


{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

Essa política de acesso inclui permissões que concedem à entidade principal do IAM a maioria das permissões aos recursos. Quando associada a uma entrada de acesso, seu escopo de acesso geralmente é um ou mais namespaces do Kubernetes. Se você quiser que uma entidade principal do IAM tenha acesso de administrador a todos os recursos do seu cluster, associe a política de acesso AmazonEKSClusterAdminPolicy à sua entrada de acesso.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`authorization.k8s.io`	`localsubjectaccessreviews`	`create`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
`rbac.authorization.k8s.io`	`rolebindings`, `roles`	`create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`,`list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`serviceaccounts`	`impersonate`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`,`list`, `watch`

AmazonEKSClusterAdminPolicy

Essa política de acesso inclui permissões que concedem ao administrador principal do IAM acesso a um cluster. Quando associada a uma entrada de acesso, seu escopo de acesso geralmente é o cluster, em vez de um namespace do Kubernetes. Se você quiser que uma entidade principal do IAM tenha um escopo administrativo mais limitado, considere associar a política de acesso AmazonEKSAdminPolicy à sua entrada de acesso.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Grupos de APIs Kubernetes	Kubernetes nonResourceURLs	Recursos Kubernetes	Verbos (permissões) Kubernetes
`*`		`*`	`*`
	`*`		`*`

AmazonEKSAdminViewPolicy

Essa política de acesso inclui permissões que concedem a uma entidade principal do IAM acesso de listagem/visualização a todos os recursos em um cluster. Observe que isso inclui Segredos do Kubernetes.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`*`	`*`	`get`, `list`, `watch`

AmazonEKSEditPolicy

Essa política de acesso inclui permissões para que uma entidade principal do IAM edite a maioria dos recursos do Kubernetes.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`serviceaccounts`	`impersonate`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`

AmazonEKSViewPolicy

Essa política de acesso inclui permissões para que uma entidade principal do IAM visualize a maioria dos recursos do Kubernetes.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, r`esourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`

AmazonEKSSecretReaderPolicy

Esta política de acesso contém permissões que autorizam uma entidade principal do IAM a realizar a leitura do Kubernetes Secrets.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
	`secrets`	`get`, `list`, `watch`

AmazonEKSAutoNodePolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

Esta política inclui as permissões abaixo, que permitem aos componentes do Amazon EKS concluir as seguintes tarefas:

kube-proxy: monitore endpoints e serviços de rede e gerencie eventos relacionados. Isso habilita a funcionalidade de proxy de rede em todo o cluster.
ipamd: gerencie recursos de rede da AWS VPC e interfaces de rede de contêineres (CNI). Isso permite que o daemon de gerenciamento de endereços IP lide com a rede de pods.
coredns: acesse recursos de descoberta de serviços, como endpoints e serviços. Isso permite a resolução de DNS no cluster.
ebs-csi-driver: trabalhe com recursos relacionados ao armazenamento de volumes do Amazon EBS. Isso permite o provisionamento dinâmico e a anexação de volumes persistentes.
neuron: monitore nós e pods de dispositivos do AWS Neuron. Isso permite o gerenciamento dos aceleradores AWS Inferentia e Trainium.
node-monitoring-agent: acesse diagnósticos e eventos de nós. Isso permite o monitoramento da integridade do cluster e a coleta de diagnósticos.

Cada componente usa uma conta de serviço dedicada e está restrito somente às permissões necessárias para sua função específica.

Se você especificar manualmente um perfil do IAM de nó em uma NodeClass, é necessário criar uma entrada de acesso que associe o novo perfil do IAM de nó a esta política de acesso.

AmazonEKSBlockStoragePolicy

nota

Essa política é designada somente para perfis vinculados a serviços da AWS e não pode ser usado com perfis gerenciados pelo cliente.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

Esta política inclui permissões que permitem que o Amazon EKS gerencie recursos de eleição do líder e coordenação de operações de armazenamento:

coordination.k8s.io: crie e gerencie objetos de concessão para a eleição do líder. Isso permite que os componentes de armazenamento do EKS coordenem suas atividades em todo o cluster por meio de um mecanismo de eleição do líder.

A política tem como escopo os recursos de concessão específicos usados pelos componentes de armazenamento do EKS para evitar o acesso conflitante a outros recursos de coordenação no cluster.

O Amazon EKS cria automaticamente uma entrada de acesso com essa política de acesso do perfil do IAM do cluster quando o Modo Automático está habilitado, garantindo que as permissões necessárias estejam em vigor para que o recurso de armazenamento em blocos funcione adequadamente.

AmazonEKSLoadBalancingPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

Esta política inclui permissões que possibilitam ao Amazon EKS gerenciar recursos de eleição do líder para balanceamento de carga:

coordination.k8s.io: crie e gerencie objetos de concessão para a eleição do líder. Isso permite que os componentes de balanceamento de carga do EKS coordenem atividades em várias réplicas ao eleger um líder.

A política tem como escopo específico os recursos de concessão de balanceamento de carga para garantir a coordenação adequada e, ao mesmo tempo, impedir o acesso a outros recursos de concessão no cluster.

O Amazon EKS cria automaticamente uma entrada de acesso com essa política de acesso para o perfil do IAM do cluster quando o Modo Automático está habilitado, garantindo que as permissões necessárias estejam em vigor para que o recurso de rede funcione adequadamente.

AmazonEKSNetworkingPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

Esta política inclui permissões que possibilitam ao Amazon EKS gerenciar recursos de eleição do líder para redes:

coordination.k8s.io: crie e gerencie objetos de concessão para a eleição do líder. Isso permite que os componentes de rede do EKS coordenem as atividades de alocação de endereços IP ao eleger um líder.

A política tem como escopo específico os recursos de concessão de rede para garantir a coordenação adequada e, ao mesmo tempo, impedir o acesso a outros recursos de concessão no cluster.

AmazonEKSComputePolicy

nota

Essa política é designada somente para perfis vinculados a serviços da AWS e não pode ser usado com perfis gerenciados pelo cliente.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputePolicy

Esta política inclui permissões que possibilitam ao Amazon EKS gerenciar recursos de eleição do líder para operações de computação:

coordination.k8s.io: crie e gerencie objetos de concessão para a eleição do líder. Isso permite que os componentes de computação do EKS coordenem as atividades de escalabilidade de nós ao eleger um líder.

A política tem como escopo específico os recursos de concessão de gerenciamento de computação, permitindo ao mesmo tempo acesso básico de leitura (get, watch) a todos os recursos de concessão no cluster.

AmazonEKSBlockStorageClusterPolicy

nota

Essa política é designada somente para perfis vinculados a serviços da AWS e não pode ser usado com perfis gerenciados pelo cliente.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

Esta política concede as permissões necessárias para a capacidade de armazenamento em blocos do Modo Automático do Amazon EKS. Ela permite o gerenciamento eficiente dos recursos de armazenamento em blocos nos clusters do Amazon EKS. A política inclui as seguintes permissões:

Gerenciamento do driver CSI:

Criar, ler, atualizar e excluir drivers CSI, especificamente para armazenamento em blocos.

Gerenciamento de volumes:

Listar, observar, criar, atualizar, aplicar patch e excluir volumes persistentes.
Listar, observar e atualizar reivindicações de volumes persistentes.
Aplicar patch aos status de reivindicação de volumes persistentes.

Interação entre nós e pods:

Ler as informações do nó e do pod.
Gerenciar eventos relacionados às operações de armazenamento.

Classes e atributos de armazenamento:

Leia classes de armazenamento e nós CSI.
Leia as classes de atributos de volume.

Anexos de volume:

Liste, observe e modifique anexos de volume e seus status.

Operações de snapshots:

Gerencie snapshots de volume, conteúdo de snapshots e classes de snapshots.
Lide com operações de snapshots de grupos de volumes e recursos relacionados.

Essa política foi projetada para ser compatível com o gerenciamento abrangente de armazenamento em blocos nos clusters do Amazon EKS em execução no Modo Automático. Ela combina permissões de várias operações, incluindo provisionamento, anexação, redimensionamento e criação de snapshots de volumes de armazenamento em blocos.

AmazonEKSComputeClusterPolicy

nota

Essa política é designada somente para perfis vinculados a serviços da AWS e não pode ser usado com perfis gerenciados pelo cliente.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

Esta política concede as permissões necessárias para a capacidade de gerenciamento computacional do Modo Automático do Amazon EKS. Ela permite orquestração e escalabilidade eficientes de recursos computacionais nos clusters do Amazon EKS. A política inclui as seguintes permissões:

Gerenciamento de nós:

Criar, ler, atualizar, excluir e gerenciar o status de NodePools e NodeClaims.
Gerenciar NodeClasses, incluindo criação, modificação e exclusão.

Gerenciamento de recursos e programação:

Acesso de leitura a pods, nós, volumes persistentes, reivindicações de volumes persistentes, controladores de replicação e namespaces.
Acesso de leitura a classes de armazenamento, nós CSI e anexos de volumes.
Listar e observar implantações, conjuntos daemon, conjuntos de réplicas e conjuntos com estado.
Ler orçamentos de interrupção de pods.

Manipulação de eventos:

Criar, ler e gerenciar eventos de clusters.

Desprovisionamento de nós e remoção de pods:

Atualizar, aplicar patch e excluir nós.
Criar remoções de pods e excluí-los quando necessário.

Gerenciamento de definição de recursos personalizados (CRD):

Criar novos CRDs.
Gerencie CRDs específicos relacionados ao gerenciamento de nós (NodeClasses, NodePools, NodeClaims e NodeDiagnostics).

Esta política foi projetada para ser compatível com o gerenciamento computacional abrangente nos clusters do Amazon EKS em execução no Modo Automático. Ela combina permissões para várias operações, incluindo provisionamento de nós, programação, escalabilidade e otimização de recursos.

O Amazon EKS cria automaticamente uma entrada de acesso com essa política de acesso do perfil do IAM do cluster quando o Modo Automático está habilitado, garantindo que as permissões necessárias estejam em vigor para que a capacidade de gerenciamento de computação funcione adequadamente.

AmazonEKSLoadBalancingClusterPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

Esta política concede as permissões necessárias para a capacidade de balanceamento de carga do Modo Automático do Amazon EKS. Ele permite o gerenciamento e a configuração eficientes dos recursos de balanceamento de carga nos clusters do Amazon EKS. A política inclui as seguintes permissões:

Gerenciamento de eventos e recursos:

Criar e aplicar patch a eventos.
Acesso de leitura a pods, nós, endpoints e namespaces.
Atualizar os status dos pods.

Gerenciamento de serviços e entradas:

Gerenciamento completo dos serviços e seus status.
Controle abrangente das entradas e seus status.
Acesso de leitura às fatias de endpoint e às classes de entrada.

Vinculações de grupos de destino:

Criar e modificar vinculações de grupos de destino e seus status.
Acesso de leitura aos parâmetros da classe de entrada.

Gerenciamento de definição de recursos personalizados (CRD):

Criar e ler todos os CRDs.
Gerenciamento específico dos CRDs targetgroupbindings.eks.amazonaws.com e ingressclassparams.eks.amazonaws.com.

Configuração do webhook:

Criar e ler configurações de webhook de mutação e validação.
Gerenciar a configuração eks-load-balancing-webhook.

Esta política foi projetada para ser compatível com o gerenciamento abrangente do balanceamento de carga nos clusters do Amazon EKS em execução no Modo Automático. Ela combina permissões para várias operações, incluindo exposição de serviços, roteamento de entradas e integração com serviços de balanceamento de carga da AWS.

O Amazon EKS cria automaticamente uma entrada de acesso com essa política de acesso do perfil do IAM do cluster quando o Modo Automático está habilitado, garantindo que as permissões necessárias estejam em vigor para que a capacidade de balanceamento de carga funcione adequadamente.

AmazonEKSNetworkingClusterPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

Esta política concede as permissões necessárias para a capacidade de rede do Modo Automático do Amazon EKS. Ele permite o gerenciamento e a configuração eficientes dos recursos de rede nos clusters do Amazon EKS. A política inclui as seguintes permissões:

Gerenciamento de nós e pods:

Ler o acesso aos NodeClasses e seus status.
Ler o acesso aos NodeClaims e seus status.
Acesso de leitura aos pods.

Gerenciamento de nós CNI:

Permissões de CNINodes e seus status, incluindo criar, ler, atualizar, excluir e aplicar patch.

Gerenciamento de definição de recursos personalizados (CRD):

Criar e ler todos os CRDs.
Gerenciamento específico (atualização, aplicação de patch, exclusão) do CRD cninodes.eks.amazonaws.com.

Gerenciamento de eventos:

Criar e aplicar patch a eventos.

Esta política foi projetada para ser compatível com o gerenciamento abrangente de redes nos clusters do Amazon EKS em execução no Modo Automático. Ela combina permissões para várias operações, incluindo configuração de rede de nós, gerenciamento de CNI (interface de rede de contêineres) e manipulação de recursos personalizados relacionados.

A política permite que os componentes de rede interajam com recursos relacionados a nós, gerenciem configurações de nós específicas da CNI e manipulem recursos personalizados essenciais para operações de rede no cluster.

AmazonEKSHybridPolicy

nota

Essa política é designada somente para perfis vinculados a serviços da AWS e não pode ser usado com perfis gerenciados pelo cliente.

Esta política de acesso inclui permissões que concedem ao EKS acesso aos nós de um cluster. Quando associada a uma entrada de acesso, seu escopo de acesso geralmente é o cluster, em vez de um namespace do Kubernetes. Esta política é usada pelo Amazon EKS Hybrid Nodes.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Grupos de APIs Kubernetes	Kubernetes nonResourceURLs	Recursos Kubernetes	Verbos (permissões) Kubernetes
`*`		`nodes`	`list`

AmazonEKSClusterInsightsPolicy

nota

Essa política é designada somente para perfis vinculados a serviços da AWS e não pode ser usado com perfis gerenciados pelo cliente.

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

Esta política concede permissões somente leitura para a funcionalidade Amazon EKS Cluster Insights. A política inclui as seguintes permissões:

Acesso ao nó: - Listar e visualizar os nós do cluster - Ler as informações de status do nó

Acesso ao DaemonSet: - Acesso de leitura à configuração do kube-proxy

Esta política é gerenciada automaticamente pelo serviço do EKS para o Cluster Insights. Para obter mais informações, consulte Prepare-se para as atualizações da versão e a solução de problemas de configurações incorretas do Kubernetes com insights do cluster.

AWSBackupFullAccessPolicyForBackup

ARN – arn:aws:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

Esta política concede as permissões necessárias para que o AWS Backup gerencie e crie backups do cluster do EKS. Esta política inclui as seguintes permissões:

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`*`	`*`	`list`, `get`

AWSBackupFullAccessPolicyForRestore

ARN – arn:aws:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

Esta política concede as permissões necessárias para que o AWS Backup gerencie e restaure backups do cluster do EKS. Esta política inclui as seguintes permissões:

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`*`	`*`	`list`, `get`, `create`

AmazonEKSACKPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSACKPolicy

Esta política concede as permissões necessárias para que a funcionalidade AWS Controllers for Kubernetes (ACK) gerencie recursos da AWS usando o Kubernetes. A política inclui as seguintes permissões:

Gerenciamento de recursos personalizados do ACK:

Permite acesso completo a todos os recursos personalizados dos serviços do ACK em mais de 50 serviços da AWS, como S3, RDS, DynamoDB, Lambda, EC2, entre outros.
Possibilita a criação, a leitura, a atualização e a exclusão de definições de recursos personalizados do ACK.

Acesso a namespaces:

Permite acesso de leitura a namespaces para organização de recursos.

Eleição do líder:

Possibilita a criação e a leitura de concessões de coordenação para eleição de líder.
Realiza a atualização e a exclusão de concessões específicas do controlador de serviço do ACK.

Gerenciamento de eventos:

Possibilita a criação e a aplicação de patches em eventos relacionados às operações do ACK.

Esta política foi projetada para oferecer suporte ao gerenciamento abrangente de recursos da AWS por meio das APIs do Kubernetes. O Amazon EKS cria automaticamente uma entrada de acesso com a presente política de acesso para o perfil do IAM da funcionalidade que você fornece quando a funcionalidade do ACK é criada.

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
	`namespaces`	`get`, `watch`, `list`
`services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws`	`*`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases` (somente concessões específicas do controlador de serviços do ACK)	`delete`, `update`, `patch`
	`events`	`create`, `patch`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`

AmazonEKSArgoCDClusterPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

Esta política concede permissões em nível de cluster necessárias para que a funcionalidade do Argo CD descubra recursos e gerencie objetos com escopo de cluster. A política inclui as seguintes permissões:

Gerenciamento de namespaces:

Permite a criação, a leitura, a atualização e a exclusão de namespaces para o gerenciamento de namespaces de aplicações.

Gerenciamento da definição de recursos personalizados:

Gerenciamento de CRDs específicas do Argo CD (Applications, AppProjects e ApplicationSets).

Descoberta de API:

Possibilita acesso de leitura aos endpoints da API do Kubernetes para a descoberta de recursos.

Esta política foi projetada para fornecer suporte às operações do Argo CD em nível de cluster, incluindo o gerenciamento de namespaces e a instalação de CRDs. O Amazon EKS cria automaticamente uma entrada de acesso com a presente política de acesso para o perfil do IAM da funcionalidade que você fornece quando a funcionalidade do Argo CD é criada.

Grupos de APIs Kubernetes	Kubernetes nonResourceURLs	Recursos Kubernetes	Verbos (permissões) Kubernetes
		`namespaces`	`create`, `get`, `update`, `patch`, `delete`
`apiextensions.k8s.io`		`customresourcedefinitions`	`create`
`apiextensions.k8s.io`		`customresourcedefinitions` (Somente CRDs do Argo CD)	`get`, `update`, `patch`, `delete`
	`/api`, `/api/`, `/apis`, `/apis/`		`get`

AmazonEKSArgoCDPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

Esta política concede permissões em nível de namespace necessárias para que a funcionalidade do Argo CD realize a implantação e o gerenciamento de aplicações. A política inclui as seguintes permissões:

Gerenciamento de segredos:

Permite acesso completo aos segredos usados para as credenciais do Git e aos segredos do cluster.

Acesso ao ConfigMap:

Possibilita acesso de leitura a ConfigMaps para o envio de alertas caso os clientes tentem usar ConfigMaps do Argo CD que não são compatíveis.

Gerenciamento de eventos:

Permite acesso de leitura e criação de eventos com o objetivo de monitorar o ciclo de vida das aplicações.

Gerenciamento de recursos do Argo CD:

Possibilita acesso completo a Applications, ApplicationSets e AppProjects.
Permite gerenciamento de finalizadores e do status dos recursos do Argo CD.

Esta política foi projetada para fornecer suporte às operações do Argo CD em nível de namespace, incluindo a implantação e o gerenciamento de aplicações. O Amazon EKS cria automaticamente uma entrada de acesso com a presente política de acesso para o perfil do IAM da funcionalidade que você fornece quando a funcionalidade do Argo CD é criada, com escopo no namespace do Argo CD.

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
	`secrets`	`*`
	`configmaps`	`get`, `list`, `watch`
	`events`	`get`, `list`, `watch`, `patch`, `create`
`argoproj.io`	`applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status`	`*`

AmazonEKSKROPolicy

ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSKROPolicy

Esta política concede as permissões necessárias para que a funcionalidade do kro (Kube Resource Orchestrator) crie e gerencie APIs personalizadas do Kubernetes. A política inclui as seguintes permissões:

Gerenciamento de recursos do kro:

Permite acesso completo a todos os recursos do kro, abrangendo ResourceGraphDefinitions e instâncias de recursos personalizados.

Gerenciamento da definição de recursos personalizados:

Possibilita a criação, a leitura, a atualização e a exclusão de CRDs para APIs personalizadas e definidas por ResourceGraphDefinitions.

Eleição do líder:

Possibilita a criação e a leitura de concessões de coordenação para eleição de líder.
Permite a atualização e a exclusão da concessão do controlador do kro.

Gerenciamento de eventos:

Possibilita a criação e a aplicação de patches em eventos relacionados às operações do kro.

Esta política foi projetada para oferecer suporte à composição abrangente de recursos e ao gerenciamento de APIs personalizadas por meio do kro. O Amazon EKS cria automaticamente uma entrada de acesso com a presente política de acesso para o perfil do IAM da funcionalidade que você fornece quando a funcionalidade do kro é criada.

Grupos de APIs Kubernetes	Recursos Kubernetes	Verbos (permissões) Kubernetes
`kro.run`	`*`	`*`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases` (somente para concessão de controladores do kro)	`delete`, `update`, `patch`
	`events`	`create`, `patch`

Atualizações de política de acesso

Visualize detalhes sobre as atualizações das políticas de acesso, desde que elas foram introduzidas. Para receber alertas automáticos sobre alterações nesta página, assine o feed RSS em Histórico do documento.

Alteração	Descrição	Data
Adição de políticas para as funcionalidades do EKS	Publicação das políticas `AmazonEKSACKPolicy`, `AmazonEKSArgoCDClusterPolicy`, `AmazonEKSArgoCDPolicy` e `AmazonEKSKROPolicy` para o gerenciamento das funcionalidades do EKS	22 de novembro de 2025
Adicionar `AmazonEKSSecretReaderPolicy`	Adição de uma nova política para acesso somente leitura a segredos	6 de novembro de 2025
Adicionar política para o EKS Cluster Insights	Publicar `AmazonEKSClusterInsightsPolicy`	2 de dezembro de 2024
Adicionar políticas do Amazon EKS Hybrid	Publicar `AmazonEKSHybridPolicy`	2 de dezembro de 2024
Adicionar políticas do Modo Automático do Amazon EKS	Estas políticas de acesso dão ao perfil do IAM do cluster e ao perfil do IAM do nó permissão para chamar as APIs do Kubernetes. A AWS as usa para automatizar tarefas de rotina de recursos de armazenamento, computação e rede.	2 de dezembro de 2024
Adicionar `AmazonEKSAdminViewPolicy`	Adicione uma nova política para acesso de visualização expandido, incluindo recursos como Segredos.	23 de abril de 2024
Políticas de acesso introduzidas.	O Amazon EKS introduziu políticas de acesso.	29 de maio de 2023

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Migrar para entradas de acesso

Modo de autenticação