本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與 Amazon EKS 整合
CloudWatch 調查功能調查群組可以直接利用來自 Amazon EKS 叢集的資訊。若要開始使用,請先授與對 Investigation Group IAM 角色的存取權。建議使用預設的AWS受管存取政策AmazonAIOpsAssistantPolicy,授予 CloudWatch 調查調查群組對叢集中資源的存取權。透過使用此政策,您可以視需要自動取得政策更新。
注意
AmazonAIOpsAssistantPolicy 是存取政策。授權與 CloudWatch 調查調查群組相關聯存取的AWS受管身分政策為 AIOpsAssistantPolicy。
使用進階組態選項,將存取政策提供的存取權限範圍縮小至一組命名空間或整個叢集。或者,您可以將存取項目與 Kubernetes 群組 RBAC 許可建立關聯,以進一步縮小存取權限範圍。如需詳細資訊,請參閱建立存取項目。
設定 Amazon EKS 存取項目 (主控台)
若要使用 AWS管理主控台將 AmazonAIOpsAssistantPolicy與調查角色建立關聯,請遵循下列步驟:
-
開啟 CloudWatch 主控台並導覽至「調查組態」頁面。
-
在 Amazon EKS 存取權限區段中,選取將
AmazonAIOpsAssistantPolicy與您的調查角色建立關聯的選項。 -
檢閱政策詳細資訊並確認關聯。
若要進一步自訂存取權限範圍:
-
按一下 Amazon EKS 存取權限區段中的進階組態。
-
您會被重新導向至 Amazon EKS 主控台。
-
在 Amazon EKS 主控台中,您可以:
-
將政策範圍限定於特定命名空間
-
設定群組功能以實現更精細的存取控制
-
設定 Amazon EKS 存取項目 (CDK)
若要使用 AWSCDK 設定 Amazon EKS 存取項目,請使用下列程式碼範例:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
Amazon EKS 存取政策 AmazonAIOpsAssistantPolicy 提供對叢集內資源的全面唯讀存取權限。CloudWatch 調查功能目前可能不會使用來自每個資源的資訊。
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
AmazonAIOpsAssistantPolicy 更新
| 變更 | 描述 | Date |
|---|---|---|
| 新增 CloudWatch 調查政策 | AmazonAIOpsAssistantPolicy 初始版本 |
2025 年 8 月 9 日 |
