檢閱存取政策許可 - Amazon EKS
列出所有政策AmazonEKSAdminPolicyAmazonEKSClusterAdminPolicyAmazonEKSAdminViewPolicyAmazonEKSEditPolicyAmazonEKSViewPolicyAmazonEKSAutoNodePolicyAmazonEKSBlockStoragePolicyAmazonEKSLoadBalancingPolicyAmazonEKSNetworkingPolicyAmazonEKSComputePolicyAmazonEKSBlockStorageClusterPolicyAmazonEKSComputeClusterPolicyAmazonEKSLoadBalancingClusterPolicyAmazonEKSNetworkingClusterPolicyAmazonEKSHybridPolicyAmazonEKSClusterInsightsPolicy存取政策更新

協助改進此頁面

若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。

檢閱存取政策許可

存取政策包含 rules,其中包含 Kubernetes verbs (許可) 和 resources。存取政策不包含 IAM 許可或資源。與 Kubernetes RoleClusterRole 物件類似,存取政策僅包含 allow rules。您無法修改存取政策的內容。您無法建立自己的存取政策。如果存取政策中的許可無法滿足您的需求,您可以建立 Kubernetes RBAC 物件並為存取項目指定群組名稱。如需詳細資訊,請參閱 建立存取項目。存取政策中包含的許可類似於 Kubernetes 面向使用者之叢集角色中的許可。如需詳細資訊,請參閱 Kubernetes 文件中的 User-facing roles 一節。

列出所有政策

可使用本頁所列的任一存取政策,或透過 AWS CLI 擷取所有可用存取政策的清單:

aws eks list-access-policies

預期輸出應如下所示 (為簡潔起見已省略部分內容):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

此存取政策包含向相應 IAM 主體授予對資源的大部分許可的許可。當將之與某個存取項目關聯時,其存取範圍通常是一個或多個 Kubernetes 命名空間。如果您希望相應 IAM 主體對叢集上的所有資源具有管理員存取權,請將 AmazonEKSClusterAdminPolicy 存取政策與相應存取項目關聯。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes API 群組 Kubernetes 資源 Kubernetes 動詞 (許可)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get,list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get,list, watch

AmazonEKSClusterAdminPolicy

此存取政策包含授予相應 IAM 主體對叢集的管理員存取權的許可。當將之與某個存取項目關聯時,其存取範圍通常是叢集,而不是某個 Kubernetes 命名空間。如果您希望限制相應 IAM 主體的管理範圍,請考慮將 AmazonEKSAdminPolicy 存取政策與相應存取項目關聯。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes API 群組 Kubernetes nonResourceURLs Kubernetes 資源 Kubernetes 動詞 (許可)

*

*

*

*

*

AmazonEKSAdminViewPolicy

此存取政策包含授予相應 IAM 主體在叢集中列出/檢視所有資源的許可。請注意,這包含 Kubernetes 秘密。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes API 群組 Kubernetes 資源 Kubernetes 動詞 (許可)

*

*

get, list, watch

AmazonEKSEditPolicy

此存取政策包含允許相應 IAM 主體編輯大多數 Kubernetes 資源的許可。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes API 群組 Kubernetes 資源 Kubernetes 動詞 (許可)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

AmazonEKSViewPolicy

此存取政策包含允許相應 IAM 主體檢視大多數 Kubernetes 資源的許可。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes API 群組 Kubernetes 資源 Kubernetes 動詞 (許可)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindingseventslimitrangesnamespaces/statuspods/logpods/statusreplicationcontrollers/statusresourcequotas、resourcequotas/status

get, list, watch

namespaces

get, list, watch

AmazonEKSAutoNodePolicy

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

此政策包含下列許可,這些許可能讓 Amazon EKS 元件完成下列任務:

  • kube-proxy – 監控網路端點和服務,並管理相關事件。這可啟用整個叢集的網路代理功能。

  • ipamd – 管理 AWS VPC 聯網資源與容器聯網介面 (CNI)。這可讓 IP 位址管理常駐程式處理 Pod 聯網。

  • coredns – 存取端點與服務等服務探索資源。這可在叢集內啟用 DNS 解析。

  • ebs-csi-driver – 使用 Amazon EBS 磁碟區的儲存相關資源。這允許持續性磁碟區的動態佈建與附加。

  • neuron – 監控 AWS Neuron 裝置的節點與 Pod。這實現了 AWS Inferentia 與 Trainium 加速器的管理。

  • node-monitoring-agent – 存取節點診斷與事件。這實現了叢集運作狀態監控與診斷收集。

每個元件都使用專用服務帳戶,且僅限於其特定功能所需的許可。

若您在 NodeClass 中手動指定節點 IAM 角色,則需要建立存取項目,將新的節點 IAM 角色與此存取政策相關聯。

AmazonEKSBlockStoragePolicy

注意

此政策僅指定用於 AWS 服務連結角色,無法與客戶管理角色一起使用。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

此政策包含允許 Amazon EKS 管理儲存操作的領導者選擇和協調資源的許可:

  • coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。這使得 EKS 儲存元件能夠透過領導者選擇機制在整個叢集中協調其活動。

該政策的範圍限定於 EKS 儲存元件使用的特定租約資源,避免與叢集中其他協調資源發生存取衝突。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保區塊儲存功能正常運作所需的許可到位。

AmazonEKSLoadBalancingPolicy

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

此政策包含允許 Amazon EKS 管理領導者選擇資源以進行負載平衡的許可:

  • coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。此功能可讓 EKS 負載平衡元件透過選擇領導者,協調多個複本間的活動。

此政策範圍專門針對負載平衡租約資源,確保協調運作順暢,同時防止存取叢集中的其他租約資源。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。

AmazonEKSNetworkingPolicy

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

此政策包含允許 Amazon EKS 管理領導者選擇資源以進行聯網的許可:

  • coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。這可讓 EKS 聯網元件可透過選擇領導者來協調 IP 位址分配活動。

此政策範圍專門針對聯網租約資源,確保協調運作順暢,同時防止存取叢集中的其他租約資源。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。

AmazonEKSComputePolicy

注意

此政策僅指定用於 AWS 服務連結角色,無法與客戶管理角色一起使用。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputePolicy

此政策包含允許 Amazon EKS 管理領導者選擇資源以進行運算操作的許可:

  • coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。這讓 EKS 運算元件能透過選擇領導者來協調節點擴展活動。

政策範圍專門針對運算管理租約資源,同時允許叢集中所有租約資源的基本讀取權限 (getwatch)。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。

AmazonEKSBlockStorageClusterPolicy

注意

此政策僅指定用於 AWS 服務連結角色,無法與客戶管理角色一起使用。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

此政策會授予 Amazon EKS 自動模式的區塊儲存功能所需的許可。它能有效管理 Amazon EKS 叢集內的區塊儲存資源。政策包含下列許可:

CSI 驅動程式管理:

  • 建立、讀取、更新和刪除 CSI 驅動程式,特別是區塊儲存。

磁碟區管理:

  • 列出、監看、建立、更新、修補及刪除持續性磁碟區。

  • 列出、監看及更新持續性磁碟區宣告。

  • 修補持續性磁碟區宣告狀態。

節點與 Pod 互動:

  • 讀取節點與 Pod 資訊。

  • 管理與儲存操作相關的事件。

儲存類別與屬性:

  • 讀取儲存類別與 CSI 節點。

  • 讀取磁碟區屬性類別。

磁碟區連接:

  • 列出、監看及修改磁碟區連接及其狀態。

快照操作:

  • 管理磁碟區快照、快照內容及快照類別。

  • 處理磁碟區群組快照及相關資源的操作。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的區塊儲存管理支援。它結合了區塊儲存磁碟卷的佈建、連接、調整大小與快照等多種操作許可。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保區塊儲存功能正常運作所需的許可到位。

AmazonEKSComputeClusterPolicy

注意

此政策僅指定用於 AWS 服務連結角色,無法與客戶管理角色一起使用。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

此政策會授予 Amazon EKS 自動模式的運算管理功能所需的許可。它能高效協同運作與擴展 Amazon EKS 叢集內的運算資源。政策包含下列許可:

節點管理:

  • 建立、讀取、更新、刪除及管理 NodePools 與 NodeClaims 的狀態。

  • 管理 NodeClass,包括建立、修改與刪除。

排程與資源管理:

  • 對 Pod、節點、持續性磁碟區、持續性磁碟區宣告、複寫控制器和命名空間的讀取權限。

  • 對儲存類別、CSI 節點及磁碟區連接的讀取權限。

  • 列出及監看部署、常駐程式集、複本集與有狀態集。

  • 讀取 Pod 中斷預算。

事件處理:

  • 建立、讀取及管理叢集事件。

節點解除佈建與 Pod 移出:

  • 更新、修補及刪除節點。

  • 必要時建立 Pod 移出及刪除 Pod。

自訂資源定義 (CRD) 管理:

  • 建立新 CRD。

  • 管理與節點管理相關的特定 CRD (NodeClasses、NodePools、NodeClaims 及 NodeDiagnostics)。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的運算管理支援。它結合了節點佈建、排程、擴展與資源最佳化等多種操作的許可。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保運算管理功能正常運作所需的許可到位。

AmazonEKSLoadBalancingClusterPolicy

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

此政策會授予 Amazon EKS 自動模式的負載平衡功能所需的許可。它能實現 Amazon EKS 叢集內負載平衡資源的高效管理與組態。政策包含下列許可:

事件與資源管理:

  • 建立與修補事件。

  • 對 Pod、節點、端點及命名空間的讀取權限。

  • 更新 Pod 狀態。

服務與傳入管理:

  • 服務及其狀態的完整管理。

  • 全面控制傳入及其狀態。

  • 端點配量與傳入類別的讀取權限。

目標群組連結:

  • 建立與修改目標群組連結及其狀態。

  • 對傳入類別參數的讀取權限。

自訂資源定義 (CRD) 管理:

  • 建立與讀取所有 CRD。

  • targetgroupbindings.eks.amazonaws.com 與 ingressclassparams.eks.amazonaws.com CRD 的特定管理。

Webhook 組態:

  • 建立與讀取變動及驗證 Webhook 組態。

  • 管理 eks-load-balancing-webhook 組態。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的負載平衡管理支援。它結合了服務公開、輸入路由以及與 AWS 負載平衡服務整合等多種操作的許可。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保負載平衡功能正常運作所需的許可到位。

AmazonEKSNetworkingClusterPolicy

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

此政策會授予 Amazon EKS 自動模式的聯網功能所需的許可。它能實現 Amazon EKS 叢集內聯網資源的高效管理與組態。政策包含下列許可:

節點與 Pod 管理:

  • 對 NodeClass 及其狀態的讀取權限。

  • 對 NodeClaims 及其狀態的讀取權限。

  • 對 Pod 的讀取權限。

CNI 節點管理:

  • 對 CNINodes 及其狀態的許可,包含建立、讀取、更新、刪除及修補。

自訂資源定義 (CRD) 管理:

  • 建立與讀取所有 CRD。

  • 對 cninodes.eks.amazonaws.com CRD 的特定管理 (更新、修補、刪除)。

管理事件:

  • 建立與修補事件。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的聯網管理支援。它結合了節點聯網組態、CNI (容器網路介面) 管理及相關自訂資源處理等多種操作的許可。

此政策允許聯網元件與節點相關資源互動、管理 CNI 特定的節點組態,並處理叢集中聯網操作關鍵的自訂資源。

當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。

AmazonEKSHybridPolicy

注意

此政策僅指定用於 AWS 服務連結角色,無法與客戶管理角色一起使用。

此存取政策包含了授予 EKS 存取叢集節點的許可。當將之與某個存取項目關聯時,其存取範圍通常是叢集,而不是某個 Kubernetes 命名空間。此政策供 Amazon EKS 混合節點使用。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Kubernetes API 群組 Kubernetes nonResourceURLs Kubernetes 資源 Kubernetes 動詞 (許可)

*

nodes

list

AmazonEKSClusterInsightsPolicy

注意

此政策僅指定用於 AWS 服務連結角色,無法與客戶管理角色一起使用。

ARN arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

此政策授予 Amazon EKS Cluster Insights 功能的唯讀許可。政策包含下列許可:

節點存取:- 列出與檢視叢集節點 - 讀取節點狀態資訊

DaemonSet 存取:- 對 kube-proxy 組態的讀取權限

此政策由 EKS 服務為 Cluster Insights 自動管理。如需詳細資訊,請參閱 利用叢集洞見為 Kubernetes 版本升級做好準備,並為錯誤組態進行故障診斷

存取政策更新

檢視有關存取政策更新 (自引進以來) 的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 文件歷史紀錄 中的 RSS 摘要。

變更 描述 日期

新增 EKS Cluster Insights 政策

發布 AmazonEKSClusterInsightsPolicy

2024 年 12 月 2 日

新增 Amazon EKS 混合政策

發布 AmazonEKSHybridPolicy

2024 年 12 月 2 日

新增 Amazon EKS 自動模式政策

這些存取政策授予叢集 IAM 角色與節點 IAM 角色呼叫 Kubernetes API 的許可。AWS 使用這些政策來自動化儲存、運算及聯網資源的常規任務。

2024 年 12 月 2 日

AmazonEKSAdminViewPolicy

新增用於擴展檢視存取權限的新政策,包含如 Secrets 等資源。

2024 年 4 月 23 日

引進存取政策。

Amazon EKS 引進了存取政策。

2023 年 5 月 29 日