與 Amazon EKS 整合 - Amazon CloudWatch
設定 Amazon EKS 存取項目 (主控台)設定 Amazon EKS 存取項目 (CDK)AmazonAIOpsAssistantPolicyAmazonAIOpsAssistantPolicy 更新

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

與 Amazon EKS 整合

CloudWatch 調查功能調查群組可以直接利用來自 Amazon EKS 叢集的資訊。若要開始使用,請先授與對 Investigation Group IAM 角色的存取權。我們建議您使用預設的 AWS 受管存取政策AmazonAIOpsAssistantPolicy,授予 CloudWatch 調查調查群組對叢集中資源的存取權。透過使用此政策,您可以視需要自動取得政策更新。

注意

AmazonAIOpsAssistantPolicy 是存取政策。授權與 CloudWatch 調查調查群組相關聯存取的 AWS 受管身分政策為 AIOpsAssistantPolicy

使用進階組態選項,將存取政策提供的存取權限範圍縮小至一組命名空間或整個叢集。或者,您可以將存取項目與 Kubernetes 群組 RBAC 許可建立關聯,以進一步縮小存取權限範圍。如需詳細資訊,請參閱建立存取項目

設定 Amazon EKS 存取項目 (主控台)

若要使用 AWS 管理主控台將 AmazonAIOpsAssistantPolicy與調查角色建立關聯,請遵循下列步驟:

  1. 開啟 CloudWatch 主控台並導覽至「調查組態」頁面。

  2. 在 Amazon EKS 存取權限區段中,選取將 AmazonAIOpsAssistantPolicy 與您的調查角色建立關聯的選項。

  3. 檢閱政策詳細資訊並確認關聯。

若要進一步自訂存取權限範圍:

  1. 按一下 Amazon EKS 存取權限區段中的進階組態

  2. 您會被重新導向至 Amazon EKS 主控台。

  3. 在 Amazon EKS 主控台中,您可以:

    1. 將政策範圍限定於特定命名空間

    2. 設定群組功能以實現更精細的存取控制

設定 Amazon EKS 存取項目 (CDK)

若要使用 AWS CDK 設定 Amazon EKS 存取項目,請使用下列程式碼範例:


    const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
        cluster: eksCluster,
        principal: investigationsIamRole.roleArn,
        accessPolicies: [
            AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
                accessScopeType: AccessScopeType.CLUSTER
            }),
        ],
    });

AmazonAIOpsAssistantPolicy

Amazon EKS 存取政策 AmazonAIOpsAssistantPolicy 提供對叢集內資源的全面唯讀存取權限。CloudWatch 調查功能目前可能不會使用來自每個資源的資訊。


    - apiGroups: [""]
      resources:
        - pods
        - pods/log
        - services
        - nodes
        - namespaces
        - events
        - persistentvolumes
        - persistentvolumeclaims
        - configmaps
      verbs:
        - get
        - list

    - apiGroups: ["apps"]
      resources:
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
      verbs:
        - get
        - list

    - apiGroups: ["batch"]
      resources:
        - jobs
        - cronjobs
      verbs:
        - get
        - list

    - apiGroups: ["events.k8s.io"]
      resources:
        - events
      verbs:
        - get
        - list

    - apiGroups: ["networking.k8s.io"]
      resources:
        - ingresses
        - ingressclasses
      verbs:
        - get
        - list

    - apiGroups: ["storage.k8s.io"]
      resources:
        - storageclasses
      verbs:
        - get
        - list

    - apiGroups: ["metrics.k8s.io"]
      resources:
        - pods
        - nodes
      verbs:
        - get
        - list

AmazonAIOpsAssistantPolicy 更新

變更 描述 Date
新增 CloudWatch 調查政策 AmazonAIOpsAssistantPolicy 初始版本 2025 年 8 月 9 日