檢閱存取政策許可

存取政策包含 rules，其中包含 Kubernetes verbs (許可) 和 resources。存取政策不包含 IAM 許可或資源。與 Kubernetes Role 和 ClusterRole 物件類似，存取政策僅包含 allow rules。您無法修改存取政策的內容。您無法建立自己的存取政策。如果存取政策中的許可無法滿足您的需求，您可以建立 Kubernetes RBAC 物件並為存取項目指定群組名稱。如需詳細資訊，請參閱建立存取項目。存取政策中包含的許可類似於 Kubernetes 面向使用者之叢集角色中的許可。如需詳細資訊，請參閱 Kubernetes 文件中的 User-facing roles 一節。

列出所有政策

使用此頁面列出的任一存取政策，或使用 CLI AWS 擷取所有可用存取政策的清單：


aws eks list-access-policies

預期輸出應如下所示 (為簡潔起見已省略部分內容)：

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

此存取政策包含向相應 IAM 主體授予對資源的大部分許可的許可。當將之與某個存取項目關聯時，其存取範圍通常是一個或多個 Kubernetes 命名空間。如果您希望相應 IAM 主體對叢集上的所有資源具有管理員存取權，請將 AmazonEKSClusterAdminPolicy 存取政策與相應存取項目關聯。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`authorization.k8s.io`	`localsubjectaccessreviews`	`create`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
`rbac.authorization.k8s.io`	`rolebindings`, `roles`	`create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`,`list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`serviceaccounts`	`impersonate`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`,`list`, `watch`

AmazonEKSClusterAdminPolicy

此存取政策包含授予相應 IAM 主體對叢集的管理員存取權的許可。當將之與某個存取項目關聯時，其存取範圍通常是叢集，而不是某個 Kubernetes 命名空間。如果您希望限制相應 IAM 主體的管理範圍，請考慮將 AmazonEKSAdminPolicy 存取政策與相應存取項目關聯。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes API 群組	Kubernetes nonResourceURLs	Kubernetes 資源	Kubernetes 動詞 (許可)
`*`		`*`	`*`
	`*`		`*`

AmazonEKSAdminViewPolicy

此存取政策包含授予相應 IAM 主體在叢集中列出/檢視所有資源的許可。請注意，這包含 Kubernetes 秘密。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`*`	`*`	`get`, `list`, `watch`

AmazonEKSEditPolicy

此存取政策包含允許相應 IAM 主體編輯大多數 Kubernetes 資源的許可。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`apps`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `jobs`	`create`, `delete`, `deletecollection`, `patch`, `update`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale`	`create`, `delete`, `deletecollection`, `patch`, `update`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `networkpolicies`	`create`, `delete`, `deletecollection`, `patch`, `update`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`	`create`, `delete`, `deletecollection`, `patch`, `update`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`
	`pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy`	`get`, `list`, `watch`
	`serviceaccounts`	`impersonate`
	`pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy`	`create`, `delete`, `deletecollection`, `patch`, `update`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status`	`get`, `list`, `watch`

AmazonEKSViewPolicy

此存取政策包含允許相應 IAM 主體檢視大多數 Kubernetes 資源的許可。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`apps`	`controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status`	`get`, `list`, `watch`
`autoscaling`	`horizontalpodautoscalers`, `horizontalpodautoscalers/status`	`get`, `list`, `watch`
`batch`	`cronjobs`, `cronjobs/status`, `jobs`, `jobs/status`	`get`, `list`, `watch`
`discovery.k8s.io`	`endpointslices`	`get`, `list`, `watch`
`extensions`	`daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale`	`get`, `list`, `watch`
`networking.k8s.io`	`ingresses`, `ingresses/status`, `networkpolicies`	`get`, `list`, `watch`
`policy`	`poddisruptionbudgets`, `poddisruptionbudgets/status`	`get`, `list`, `watch`
	`configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status`	`get`, `list`, `watch`
	`bindings`、`events`、`limitranges`、`namespaces/status`、`pods/log`、`pods/status`、`replicationcontrollers/status`、`resourcequotas`、r`esourcequotas/status`	`get`, `list`, `watch`
	`namespaces`	`get`, `list`, `watch`

AmazonEKSSecretReaderPolicy

此存取政策包含允許 IAM 主體讀取 Kubernetes 秘密的許可。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
	`secrets`	`get`, `list`, `watch`

AmazonEKSAutoNodePolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

此政策包含下列許可，這些許可能讓 Amazon EKS 元件完成下列任務：

kube-proxy – 監控網路端點和服務，並管理相關事件。這可啟用整個叢集的網路代理功能。
ipamd – 管理 AWS VPC 聯網資源和容器網路介面 (CNI)。這可讓 IP 位址管理常駐程式處理 Pod 聯網。
coredns – 存取端點與服務等服務探索資源。這可在叢集內啟用 DNS 解析。
ebs-csi-driver – 使用 Amazon EBS 磁碟區的儲存相關資源。這允許持續性磁碟區的動態佈建與附加。
neuron – 監控 AWS Neuron 裝置的節點和 Pod。這可讓您管理 AWS Inferentia 和 Trainium 加速器。
node-monitoring-agent – 存取節點診斷與事件。這實現了叢集運作狀態監控與診斷收集。

每個元件都使用專用服務帳戶，且僅限於其特定功能所需的許可。

如果您在 NodeClass 中手動指定節點 IAM 角色，則需要建立將新節點 IAM 角色與此存取政策建立關聯的存取項目。

AmazonEKSBlockStoragePolicy

注意

此政策僅針對 AWS 服務連結角色指定，無法與客戶受管角色搭配使用。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

此政策包含允許 Amazon EKS 管理儲存操作的領導者選擇和協調資源的許可：

coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。這使得 EKS 儲存元件能夠透過領導者選擇機制在整個叢集中協調其活動。

該政策的範圍限定於 EKS 儲存元件使用的特定租約資源，避免與叢集中其他協調資源發生存取衝突。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保區塊儲存功能正常運作所需的許可到位。

AmazonEKSLoadBalancingPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

此政策包含允許 Amazon EKS 管理領導者選擇資源以進行負載平衡的許可：

coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。此功能可讓 EKS 負載平衡元件透過選擇領導者，協調多個複本間的活動。

此政策範圍專門針對負載平衡租約資源，確保協調運作順暢，同時防止存取叢集中的其他租約資源。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保聯網功能正常運作所需的許可到位。

AmazonEKSNetworkingPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

此政策包含允許 Amazon EKS 管理領導者選擇資源以進行聯網的許可：

coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。這可讓 EKS 聯網元件可透過選擇領導者來協調 IP 位址分配活動。

此政策範圍專門針對聯網租約資源，確保協調運作順暢，同時防止存取叢集中的其他租約資源。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保聯網功能正常運作所需的許可到位。

AmazonEKSComputePolicy

注意

此政策僅針對 AWS 服務連結角色指定，無法與客戶受管角色搭配使用。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy

此政策包含允許 Amazon EKS 管理領導者選擇資源以進行運算操作的許可：

coordination.k8s.io – 建立和管理用於領導者選擇的租約物件。這讓 EKS 運算元件能透過選擇領導者來協調節點擴展活動。

政策範圍專門針對運算管理租約資源，同時允許叢集中所有租約資源的基本讀取權限 (get、watch)。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保聯網功能正常運作所需的許可到位。

AmazonEKSBlockStorageClusterPolicy

注意

此政策僅針對 AWS 服務連結角色指定，無法與客戶受管角色搭配使用。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

此政策會授予 Amazon EKS 自動模式的區塊儲存功能所需的許可。它能有效管理 Amazon EKS 叢集內的區塊儲存資源。政策包含下列許可：

CSI 驅動程式管理：

建立、讀取、更新和刪除 CSI 驅動程式，特別是區塊儲存。

磁碟區管理：

列出、監看、建立、更新、修補及刪除持續性磁碟區。
列出、監看及更新持續性磁碟區宣告。
修補持續性磁碟區宣告狀態。

節點與 Pod 互動：

讀取節點與 Pod 資訊。
管理與儲存操作相關的事件。

儲存類別與屬性：

讀取儲存類別與 CSI 節點。
讀取磁碟區屬性類別。

磁碟區連接：

列出、監看及修改磁碟區連接及其狀態。

快照操作：

管理磁碟區快照、快照內容及快照類別。
處理磁碟區群組快照及相關資源的操作。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的區塊儲存管理支援。它結合了區塊儲存磁碟卷的佈建、連接、調整大小與快照等多種操作許可。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保區塊儲存功能正常運作所需的許可到位。

AmazonEKSComputeClusterPolicy

注意

此政策僅針對 AWS 服務連結角色指定，無法與客戶受管角色搭配使用。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

此政策會授予 Amazon EKS 自動模式的運算管理功能所需的許可。它能高效協同運作與擴展 Amazon EKS 叢集內的運算資源。政策包含下列許可：

節點管理：

建立、讀取、更新、刪除及管理 NodePools 與 NodeClaims 的狀態。
管理 NodeClass，包括建立、修改與刪除。

排程與資源管理：

對 Pod、節點、持續性磁碟區、持續性磁碟區宣告、複寫控制器和命名空間的讀取權限。
對儲存類別、CSI 節點及磁碟區連接的讀取權限。
列出及監看部署、常駐程式集、複本集與有狀態集。
讀取 Pod 中斷預算。

事件處理：

建立、讀取及管理叢集事件。

節點解除佈建與 Pod 移出：

更新、修補及刪除節點。
必要時建立 Pod 移出及刪除 Pod。

自訂資源定義 (CRD) 管理：

建立新 CRD。
管理與節點管理相關的特定 CRD (NodeClasses、NodePools、NodeClaims 及 NodeDiagnostics)。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的運算管理支援。它結合了節點佈建、排程、擴展與資源最佳化等多種操作的許可。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保運算管理功能正常運作所需的許可到位。

AmazonEKSLoadBalancingClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

此政策會授予 Amazon EKS 自動模式的負載平衡功能所需的許可。它能實現 Amazon EKS 叢集內負載平衡資源的高效管理與組態。政策包含下列許可：

事件與資源管理：

建立與修補事件。
對 Pod、節點、端點及命名空間的讀取權限。
更新 Pod 狀態。

服務與傳入管理：

服務及其狀態的完整管理。
全面控制傳入及其狀態。
端點配量與傳入類別的讀取權限。

目標群組連結：

建立與修改目標群組連結及其狀態。
對傳入類別參數的讀取權限。

自訂資源定義 (CRD) 管理：

建立與讀取所有 CRD。
targetgroupbindings.eks.amazonaws.com 與 ingressclassparams.eks.amazonaws.com CRD 的特定管理。

Webhook 組態：

建立與讀取變動及驗證 Webhook 組態。
管理 eks-load-balancing-webhook 組態。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的負載平衡管理支援。它結合了各種操作的許可，包括服務公開、輸入路由，以及與 AWS 負載平衡服務的整合。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保負載平衡功能正常運作所需的許可到位。

AmazonEKSNetworkingClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

此政策會授予 Amazon EKS 自動模式的聯網功能所需的許可。它能實現 Amazon EKS 叢集內聯網資源的高效管理與組態。政策包含下列許可：

節點與 Pod 管理：

對 NodeClass 及其狀態的讀取權限。
對 NodeClaims 及其狀態的讀取權限。
對 Pod 的讀取權限。

CNI 節點管理：

對 CNINodes 及其狀態的許可，包含建立、讀取、更新、刪除及修補。

自訂資源定義 (CRD) 管理：

建立與讀取所有 CRD。
對 cninodes.eks.amazonaws.com CRD 的特定管理 (更新、修補、刪除)。

管理事件：

建立與修補事件。

此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的聯網管理支援。它結合了節點聯網組態、CNI (容器網路介面) 管理及相關自訂資源處理等多種操作的許可。

此政策允許聯網元件與節點相關資源互動、管理 CNI 特定的節點組態，並處理叢集中聯網操作關鍵的自訂資源。

當啟用自動模式時，Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目，以確保聯網功能正常運作所需的許可到位。

AmazonEKSHybridPolicy

注意

此政策僅針對 AWS 服務連結角色指定，無法與客戶受管角色搭配使用。

此存取政策包含了授予 EKS 存取叢集節點的許可。當將之與某個存取項目關聯時，其存取範圍通常是叢集，而不是某個 Kubernetes 命名空間。此政策供 Amazon EKS 混合節點使用。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Kubernetes API 群組	Kubernetes nonResourceURLs	Kubernetes 資源	Kubernetes 動詞 (許可)
`*`		`nodes`	`list`

AmazonEKSClusterInsightsPolicy

注意

此政策僅針對 AWS 服務連結角色指定，無法與客戶受管角色搭配使用。

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

此政策授予 Amazon EKS Cluster Insights 功能的唯讀許可。政策包含下列許可：

節點存取：- 列出與檢視叢集節點 - 讀取節點狀態資訊

DaemonSet 存取：- 對 kube-proxy 組態的讀取權限

此政策由 EKS 服務為 Cluster Insights 自動管理。如需詳細資訊，請參閱利用叢集洞見為 Kubernetes 版本升級做好準備，並為錯誤組態進行故障診斷。

AWSBackupFullAccessPolicyForBackup

ARN – arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

此政策授予 AWS Backup 管理和建立 EKS 叢集備份所需的許可。此政策包含以下許可：

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`*`	`*`	`list`, `get`

AWSBackupFullAccessPolicyForRestore

ARN – arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

此政策授予 AWS Backup 管理和還原 EKS 叢集備份所需的許可。此政策包含以下許可：

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`*`	`*`	`list`, `get`, `create`

AmazonEKSACKPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy

此政策授予 AWS Controllers for Kubernetes (ACK) 功能從 Kubernetes 管理 AWS 資源所需的許可。政策包含下列許可：

ACK 自訂資源管理：

完整存取 50+ 個服務中的所有 ACK AWS 服務自訂資源，包括 S3、RDS、DynamoDB、Lambda、EC2 等。
建立、讀取、更新和刪除 ACK 自訂資源定義。

命名空間存取：

資源組織的命名空間讀取存取權。

領導者選擇：

建立和讀取領導者選擇的協調租用。
更新和刪除特定 ACK 服務控制器租用。

管理事件：

建立和修補 ACK 操作的事件。

此政策旨在支援透過 Kubernetes APIs全面的 AWS 資源管理。Amazon EKS 會自動為您在建立 ACK 功能時提供的功能 IAM 角色建立具有此存取政策的存取項目。

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
	`namespaces`	`get`, `watch`, `list`
`services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws`	`*`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases` （僅限特定 ACK 服務控制器租用）	`delete`, `update`, `patch`
	`events`	`create`, `patch`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`

AmazonEKSArgoCDClusterPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

此政策會授予 Argo CD 功能所需的叢集層級許可，以探索資源和管理叢集範圍物件。政策包含下列許可：

命名空間管理：

建立、讀取、更新和刪除應用程式命名空間管理的命名空間。

自訂資源定義管理：

管理 Argo CD 特定 CRDs（應用程式、AppProjects、ApplicationSets)。

API 探索：

用於資源探索的 Kubernetes API 端點讀取存取權。

此政策旨在支援叢集層級 Argo CD 操作，包括命名空間管理和 CRD 安裝。Amazon EKS 會自動為您在建立 Argo CD 功能時提供的功能 IAM 角色建立具有此存取政策的存取項目。

Kubernetes API 群組	Kubernetes nonResourceURLs	Kubernetes 資源	Kubernetes 動詞 (許可)
		`namespaces`	`create`, `get`, `update`, `patch`, `delete`
`apiextensions.k8s.io`		`customresourcedefinitions`	`create`
`apiextensions.k8s.io`		`customresourcedefinitions` （僅限 Argo CD CRDs)	`get`, `update`, `patch`, `delete`
	`/api`, `/api/`, `/apis`, `/apis/`		`get`

AmazonEKSArgoCDPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

此政策會授予 Argo CD 功能部署和管理應用程式所需的命名空間層級許可。政策包含下列許可：

秘密管理：

完整存取 Git 登入資料和叢集秘密的秘密。

ConfigMap 存取：

如果客戶嘗試使用不支援的 Argo CD ConfigMaps，請讀取 ConfigMaps 的存取權以傳送警告。

管理事件：

讀取和建立事件以進行應用程式生命週期追蹤。

Argo CD 資源管理：

應用程式、ApplicationSets 和 AppProjects 的完整存取權。
管理 Argo CD 資源的最終處理者和狀態。

此政策旨在支援命名空間層級的 Argo CD 操作，包括應用程式部署和管理。Amazon EKS 會自動為您在 Argo CD 功能建立範圍為 Argo CD 命名空間時提供的功能 IAM 角色建立具有此存取政策的存取項目。

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
	`secrets`	`*`
	`configmaps`	`get`, `list`, `watch`
	`events`	`get`, `list`, `watch`, `patch`, `create`
`argoproj.io`	`applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status`	`*`

AmazonEKSKROPolicy

ARN – arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy

此政策授予 kro (Kube Resource Orchestrator) 功能建立和管理自訂 Kubernetes APIs 所需的許可。政策包含下列許可：

kro 資源管理：

完整存取所有 kro 資源，包括 ResourceGraphDefinitions 和自訂資源執行個體。

自訂資源定義管理：

為 ResourceGraphDefinitions 定義的自訂 APIs建立、讀取、更新和刪除 CRDs。

領導者選擇：

建立和讀取領導者選擇的協調租用。
更新和刪除 kro 控制器租用。

管理事件：

建立和修補 kro 操作的事件。

此政策旨在透過 kro 支援全面的資源合成和自訂 API 管理。Amazon EKS 會自動為您在建立 kro 功能時提供的功能 IAM 角色建立具有此存取政策的存取項目。

Kubernetes API 群組	Kubernetes 資源	Kubernetes 動詞 (許可)
`kro.run`	`*`	`*`
`apiextensions.k8s.io`	`customresourcedefinitions`	`*`
`coordination.k8s.io`	`leases`	`create`, `get`, `list`, `watch`
`coordination.k8s.io`	`leases` （僅限 Kro 控制器租用）	`delete`, `update`, `patch`
	`events`	`create`, `patch`

存取政策更新

檢視有關存取政策更新 (自引進以來) 的詳細資訊。如需有關此頁面變更的自動提醒，請訂閱文件歷史紀錄中的 RSS 摘要。

變更	描述	Date
新增 EKS 功能的政策	發佈 `AmazonEKSACKPolicy`、`AmazonEKSArgoCDPolicy`、 `AmazonEKSArgoCDClusterPolicy`和 `AmazonEKSKROPolicy`以管理 EKS 功能	2025 年 11 月 22 日
加 `AmazonEKSSecretReaderPolicy`	為秘密的唯讀存取新增新政策	2025 年 11 月 6 日
新增 EKS Cluster Insights 政策	發布 `AmazonEKSClusterInsightsPolicy`	2024 年 12 月 2 日
新增 Amazon EKS 混合政策	發布 `AmazonEKSHybridPolicy`	2024 年 12 月 2 日
新增 Amazon EKS 自動模式政策	這些存取政策提供叢集 IAM 角色和節點 IAM 角色呼叫 Kubernetes APIs許可。 AWS 使用這些許可來自動化儲存、運算和聯網資源的例行任務。	2024 年 12 月 2 日
加 `AmazonEKSAdminViewPolicy`	新增用於擴展檢視存取權限的新政策，包含如 Secrets 等資源。	2024 年 4 月 23 日
引進存取政策。	Amazon EKS 引進了存取政策。	2023 年 5 月 29 日

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

移轉至存取項目

身分驗證方式