**協助改進此頁面**
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 檢閱存取政策許可
存取政策包含 `rules`,其中包含 Kubernetes `verbs` (許可) 和 `resources`。存取政策不包含 IAM 許可或資源。與 Kubernetes `Role` 和 `ClusterRole` 物件類似,存取政策僅包含 `allow` `rules`。您無法修改存取政策的內容。您無法建立自己的存取政策。如果存取政策中的許可無法滿足您的需求,您可以建立 Kubernetes RBAC 物件並為存取項目指定*群組名稱*。如需詳細資訊,請參閱[建立存取項目](creating-access-entries.md)。存取政策中包含的許可類似於 Kubernetes 面向使用者之叢集角色中的許可。如需詳細資訊,請參閱 Kubernetes 文件中的 [User-facing roles](https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles) 一節。
## 列出所有政策
使用此頁面列出的任一存取政策,或使用 CLI AWS 擷取所有可用存取政策的清單:
```
aws eks list-access-policies
```
預期輸出應如下所示 (為簡潔起見已省略部分內容):
```
{
"accessPolicies": [
{
"name": "AmazonAIOpsAssistantPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
},
{
"name": "AmazonARCRegionSwitchScalingPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
},
{
"name": "AmazonEKSAdminPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
},
{
"name": "AmazonEKSAdminViewPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
},
{
"name": "AmazonEKSAutoNodePolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
}
// Additional policies omitted
]
}
```
## AmazonEKSAdminPolicy
此存取政策包含向相應 IAM 主體授予對資源的大部分許可的許可。當將之與某個存取項目關聯時,其存取範圍通常是一個或多個 Kubernetes 命名空間。如果您希望相應 IAM 主體對叢集上的所有資源具有管理員存取權,請將 [AmazonEKSClusterAdminPolicy](#access-policy-permissions-amazoneksclusteradminpolicy) 存取政策與相應存取項目關聯。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminPolicy`
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `authorization.k8s.io` | `localsubjectaccessreviews` | `create` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| `rbac.authorization.k8s.io` | `rolebindings`, `roles` | `create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`,`list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `serviceaccounts` | `impersonate` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`,`list`, `watch` |
## AmazonEKSClusterAdminPolicy
此存取政策包含授予相應 IAM 主體對叢集的管理員存取權的許可。當將之與某個存取項目關聯時,其存取範圍通常是叢集,而不是某個 Kubernetes 命名空間。如果您希望限制相應 IAM 主體的管理範圍,請考慮將 [AmazonEKSAdminPolicy](#access-policy-permissions-amazoneksadminpolicy) 存取政策與相應存取項目關聯。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy`
| Kubernetes API 群組 | Kubernetes nonResourceURLs | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- | --- |
| `*` | | `*` | `*` |
| | `*` | | `*` |
## AmazonEKSAdminViewPolicy
此存取政策包含授予相應 IAM 主體在叢集中列出/檢視所有資源的許可。請注意,這包含 [Kubernetes 秘密。](https://kubernetes.io/docs/concepts/configuration/secret/)
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy`
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `*` | `*` | `get`, `list`, `watch` |
## AmazonEKSEditPolicy
此存取政策包含允許相應 IAM 主體編輯大多數 Kubernetes 資源的許可。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSEditPolicy`
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `serviceaccounts` | `impersonate` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
## AmazonEKSViewPolicy
此存取政策包含允許相應 IAM 主體檢視大多數 Kubernetes 資源的許可。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSViewPolicy`
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`、`events`、`limitranges`、`namespaces/status`、`pods/log`、`pods/status`、`replicationcontrollers/status`、`resourcequotas`、r`esourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
## AmazonEKSSecretReaderPolicy
此存取政策包含允許 IAM 主體讀取 [Kubernetes 秘密的許可。](https://kubernetes.io/docs/concepts/configuration/secret/)
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy`
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| | `secrets` | `get`, `list`, `watch` |
## AmazonEKSAutoNodePolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy`
此政策包含下列許可,這些許可能讓 Amazon EKS 元件完成下列任務:
+ `kube-proxy` – 監控網路端點和服務,並管理相關事件。這可啟用整個叢集的網路代理功能。
+ `ipamd` – 管理 AWS VPC 聯網資源和容器網路介面 (CNI)。這可讓 IP 位址管理常駐程式處理 Pod 聯網。
+ `coredns` – 存取端點與服務等服務探索資源。這可在叢集內啟用 DNS 解析。
+ `ebs-csi-driver` – 使用 Amazon EBS 磁碟區的儲存相關資源。這允許持續性磁碟區的動態佈建與附加。
+ `neuron` – 監控 AWS Neuron 裝置的節點和 Pod。這可讓您管理 AWS Inferentia 和 Trainium 加速器。
+ `node-monitoring-agent` – 存取節點診斷與事件。這實現了叢集運作狀態監控與診斷收集。
每個元件都使用專用服務帳戶,且僅限於其特定功能所需的許可。
如果您在 NodeClass 中手動指定節點 IAM 角色,則需要建立將新節點 IAM 角色與此存取政策建立關聯的存取項目。
## AmazonEKSBlockStoragePolicy
**注意**
此政策僅針對 AWS 服務連結角色指定,無法與客戶受管角色搭配使用。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy`
此政策包含允許 Amazon EKS 管理儲存操作的領導者選擇和協調資源的許可:
+ `coordination.k8s.io` – 建立和管理用於領導者選擇的租約物件。這使得 EKS 儲存元件能夠透過領導者選擇機制在整個叢集中協調其活動。
該政策的範圍限定於 EKS 儲存元件使用的特定租約資源,避免與叢集中其他協調資源發生存取衝突。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保區塊儲存功能正常運作所需的許可到位。
## AmazonEKSLoadBalancingPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy`
此政策包含允許 Amazon EKS 管理領導者選擇資源以進行負載平衡的許可:
+ `coordination.k8s.io` – 建立和管理用於領導者選擇的租約物件。此功能可讓 EKS 負載平衡元件透過選擇領導者,協調多個複本間的活動。
此政策範圍專門針對負載平衡租約資源,確保協調運作順暢,同時防止存取叢集中的其他租約資源。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。
## AmazonEKSNetworkingPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy`
此政策包含允許 Amazon EKS 管理領導者選擇資源以進行聯網的許可:
+ `coordination.k8s.io` – 建立和管理用於領導者選擇的租約物件。這可讓 EKS 聯網元件可透過選擇領導者來協調 IP 位址分配活動。
此政策範圍專門針對聯網租約資源,確保協調運作順暢,同時防止存取叢集中的其他租約資源。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。
## AmazonEKSComputePolicy
**注意**
此政策僅針對 AWS 服務連結角色指定,無法與客戶受管角色搭配使用。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputePolicy`
此政策包含允許 Amazon EKS 管理領導者選擇資源以進行運算操作的許可:
+ `coordination.k8s.io` – 建立和管理用於領導者選擇的租約物件。這讓 EKS 運算元件能透過選擇領導者來協調節點擴展活動。
政策範圍專門針對運算管理租約資源,同時允許叢集中所有租約資源的基本讀取權限 (`get`、`watch`)。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。
## AmazonEKSBlockStorageClusterPolicy
**注意**
此政策僅針對 AWS 服務連結角色指定,無法與客戶受管角色搭配使用。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy`
此政策會授予 Amazon EKS 自動模式的區塊儲存功能所需的許可。它能有效管理 Amazon EKS 叢集內的區塊儲存資源。政策包含下列許可:
CSI 驅動程式管理:
+ 建立、讀取、更新和刪除 CSI 驅動程式,特別是區塊儲存。
磁碟區管理:
+ 列出、監看、建立、更新、修補及刪除持續性磁碟區。
+ 列出、監看及更新持續性磁碟區宣告。
+ 修補持續性磁碟區宣告狀態。
節點與 Pod 互動:
+ 讀取節點與 Pod 資訊。
+ 管理與儲存操作相關的事件。
儲存類別與屬性:
+ 讀取儲存類別與 CSI 節點。
+ 讀取磁碟區屬性類別。
磁碟區連接:
+ 列出、監看及修改磁碟區連接及其狀態。
快照操作:
+ 管理磁碟區快照、快照內容及快照類別。
+ 處理磁碟區群組快照及相關資源的操作。
此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的區塊儲存管理支援。它結合了區塊儲存磁碟卷的佈建、連接、調整大小與快照等多種操作許可。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保區塊儲存功能正常運作所需的許可到位。
## AmazonEKSComputeClusterPolicy
**注意**
此政策僅針對 AWS 服務連結角色指定,無法與客戶受管角色搭配使用。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy`
此政策會授予 Amazon EKS 自動模式的運算管理功能所需的許可。它能高效協同運作與擴展 Amazon EKS 叢集內的運算資源。政策包含下列許可:
節點管理:
+ 建立、讀取、更新、刪除及管理 NodePools 與 NodeClaims 的狀態。
+ 管理 NodeClass,包括建立、修改與刪除。
排程與資源管理:
+ 對 Pod、節點、持續性磁碟區、持續性磁碟區宣告、複寫控制器和命名空間的讀取權限。
+ 對儲存類別、CSI 節點及磁碟區連接的讀取權限。
+ 列出及監看部署、常駐程式集、複本集與有狀態集。
+ 讀取 Pod 中斷預算。
事件處理:
+ 建立、讀取及管理叢集事件。
節點解除佈建與 Pod 移出:
+ 更新、修補及刪除節點。
+ 必要時建立 Pod 移出及刪除 Pod。
自訂資源定義 (CRD) 管理:
+ 建立新 CRD。
+ 管理與節點管理相關的特定 CRD (NodeClasses、NodePools、NodeClaims 及 NodeDiagnostics)。
此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的運算管理支援。它結合了節點佈建、排程、擴展與資源最佳化等多種操作的許可。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保運算管理功能正常運作所需的許可到位。
## AmazonEKSLoadBalancingClusterPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy`
此政策會授予 Amazon EKS 自動模式的負載平衡功能所需的許可。它能實現 Amazon EKS 叢集內負載平衡資源的高效管理與組態。政策包含下列許可:
事件與資源管理:
+ 建立與修補事件。
+ 對 Pod、節點、端點及命名空間的讀取權限。
+ 更新 Pod 狀態。
服務與傳入管理:
+ 服務及其狀態的完整管理。
+ 全面控制傳入及其狀態。
+ 端點配量與傳入類別的讀取權限。
目標群組連結:
+ 建立與修改目標群組連結及其狀態。
+ 對傳入類別參數的讀取權限。
自訂資源定義 (CRD) 管理:
+ 建立與讀取所有 CRD。
+ targetgroupbindings.eks.amazonaws.com 與 ingressclassparams.eks.amazonaws.com CRD 的特定管理。
Webhook 組態:
+ 建立與讀取變動及驗證 Webhook 組態。
+ 管理 eks-load-balancing-webhook 組態。
此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的負載平衡管理支援。它結合了各種操作的許可,包括服務公開、輸入路由,以及與 AWS 負載平衡服務的整合。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保負載平衡功能正常運作所需的許可到位。
## AmazonEKSNetworkingClusterPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy`
AmazonEKSNetworkingClusterPolicy
此政策會授予 Amazon EKS 自動模式的聯網功能所需的許可。它能實現 Amazon EKS 叢集內聯網資源的高效管理與組態。政策包含下列許可:
節點與 Pod 管理:
+ 對 NodeClass 及其狀態的讀取權限。
+ 對 NodeClaims 及其狀態的讀取權限。
+ 對 Pod 的讀取權限。
CNI 節點管理:
+ 對 CNINodes 及其狀態的許可,包含建立、讀取、更新、刪除及修補。
自訂資源定義 (CRD) 管理:
+ 建立與讀取所有 CRD。
+ 對 cninodes.eks.amazonaws.com CRD 的特定管理 (更新、修補、刪除)。
管理事件:
+ 建立與修補事件。
此政策旨在為執行於自動模式的 Amazon EKS 叢集提供全面的聯網管理支援。它結合了節點聯網組態、CNI (容器網路介面) 管理及相關自訂資源處理等多種操作的許可。
此政策允許聯網元件與節點相關資源互動、管理 CNI 特定的節點組態,並處理叢集中聯網操作關鍵的自訂資源。
當啟用自動模式時,Amazon EKS 會自動為叢集 IAM 角色建立帶有此存取政策的存取項目,以確保聯網功能正常運作所需的許可到位。
## AmazonEKSHybridPolicy
**注意**
此政策僅針對 AWS 服務連結角色指定,無法與客戶受管角色搭配使用。
此存取政策包含了授予 EKS 存取叢集節點的許可。當將之與某個存取項目關聯時,其存取範圍通常是叢集,而不是某個 Kubernetes 命名空間。此政策供 Amazon EKS 混合節點使用。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSHybridPolicy`
| Kubernetes API 群組 | Kubernetes nonResourceURLs | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- | --- |
| `*` | | `nodes` | `list` |
## AmazonEKSClusterInsightsPolicy
**注意**
此政策僅針對 AWS 服務連結角色指定,無法與客戶受管角色搭配使用。
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy`
此政策授予 Amazon EKS Cluster Insights 功能的唯讀許可。政策包含下列許可:
節點存取:- 列出與檢視叢集節點 - 讀取節點狀態資訊
DaemonSet 存取:- 對 kube-proxy 組態的讀取權限
此政策由 EKS 服務為 Cluster Insights 自動管理。如需詳細資訊,請參閱[利用叢集洞見為 Kubernetes 版本升級做好準備,並為錯誤組態進行故障診斷](cluster-insights.md)。
## AWSBackupFullAccessPolicyForBackup
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup`
AWSBackupFullAccessPolicyForBackup
此政策授予 AWS Backup 管理和建立 EKS 叢集備份所需的許可。此政策包含以下許可:
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `*` | `*` | `list`, `get` |
## AWSBackupFullAccessPolicyForRestore
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore`
AWSBackupFullAccessPolicyForRestore
此政策授予 AWS Backup 管理和還原 EKS 叢集備份所需的許可。此政策包含以下許可:
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `*` | `*` | `list`, `get`, `create` |
## AmazonEKSACKPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSACKPolicy`
此政策授予 AWS Controllers for Kubernetes (ACK) 功能從 Kubernetes 管理 AWS 資源所需的許可。政策包含下列許可:
ACK 自訂資源管理:
+ 完整存取 50\$1 個服務中的所有 ACK AWS 服務自訂資源,包括 S3、RDS、DynamoDB、Lambda、EC2 等。
+ 建立、讀取、更新和刪除 ACK 自訂資源定義。
命名空間存取:
+ 資源組織的命名空間讀取存取權。
領導者選擇:
+ 建立和讀取領導者選擇的協調租用。
+ 更新和刪除特定 ACK 服務控制器租用。
管理事件:
+ 建立和修補 ACK 操作的事件。
此政策旨在支援透過 Kubernetes APIs全面的 AWS 資源管理。Amazon EKS 會自動為您在建立 ACK 功能時提供的功能 IAM 角色建立具有此存取政策的存取項目。
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| | `namespaces` | `get`, `watch`, `list` |
| `services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws` | `*` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases` (僅限特定 ACK 服務控制器租用) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
## AmazonEKSArgoCDClusterPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy`
此政策會授予 Argo CD 功能所需的叢集層級許可,以探索資源和管理叢集範圍物件。政策包含下列許可:
命名空間管理:
+ 建立、讀取、更新和刪除應用程式命名空間管理的命名空間。
自訂資源定義管理:
+ 管理 Argo CD 特定 CRDs(應用程式、AppProjects、ApplicationSets)。
API 探索:
+ 用於資源探索的 Kubernetes API 端點讀取存取權。
此政策旨在支援叢集層級 Argo CD 操作,包括命名空間管理和 CRD 安裝。Amazon EKS 會自動為您在建立 Argo CD 功能時提供的功能 IAM 角色建立具有此存取政策的存取項目。
| Kubernetes API 群組 | Kubernetes nonResourceURLs | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- | --- |
| | | `namespaces` | `create`, `get`, `update`, `patch`, `delete` |
| `apiextensions.k8s.io` | | `customresourcedefinitions` | `create` |
| `apiextensions.k8s.io` | | `customresourcedefinitions` (僅限 Argo CD CRDs) | `get`, `update`, `patch`, `delete` |
| | `/api`, `/api/*`, `/apis`, `/apis/*` | | `get` |
## AmazonEKSArgoCDPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy`
此政策會授予 Argo CD 功能部署和管理應用程式所需的命名空間層級許可。政策包含下列許可:
秘密管理:
+ 完整存取 Git 登入資料和叢集秘密的秘密。
ConfigMap 存取:
+ 如果客戶嘗試使用不支援的 Argo CD ConfigMaps,請讀取 ConfigMaps 的存取權以傳送警告。
管理事件:
+ 讀取和建立事件以進行應用程式生命週期追蹤。
Argo CD 資源管理:
+ 應用程式、ApplicationSets 和 AppProjects 的完整存取權。
+ 管理 Argo CD 資源的最終處理者和狀態。
此政策旨在支援命名空間層級的 Argo CD 操作,包括應用程式部署和管理。Amazon EKS 會自動為您在 Argo CD 功能建立範圍為 Argo CD 命名空間時提供的功能 IAM 角色建立具有此存取政策的存取項目。
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| | `secrets` | `*` |
| | `configmaps` | `get`, `list`, `watch` |
| | `events` | `get`, `list`, `watch`, `patch`, `create` |
| `argoproj.io` | `applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status` | `*` |
## AmazonEKSKROPolicy
**ARN** – ` arn:aws: eks::aws:cluster-access-policy/AmazonEKSKROPolicy`
此政策授予 kro (Kube Resource Orchestrator) 功能建立和管理自訂 Kubernetes APIs 所需的許可。政策包含下列許可:
kro 資源管理:
+ 完整存取所有 kro 資源,包括 ResourceGraphDefinitions 和自訂資源執行個體。
自訂資源定義管理:
+ 為 ResourceGraphDefinitions 定義的自訂 APIs建立、讀取、更新和刪除 CRDs。
領導者選擇:
+ 建立和讀取領導者選擇的協調租用。
+ 更新和刪除 kro 控制器租用。
管理事件:
+ 建立和修補 kro 操作的事件。
此政策旨在透過 kro 支援全面的資源合成和自訂 API 管理。Amazon EKS 會自動為您在建立 kro 功能時提供的功能 IAM 角色建立具有此存取政策的存取項目。
| Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `kro.run` | `*` | `*` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases` (僅限 Kro 控制器租用) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
## 存取政策更新
檢視有關存取政策更新 (自引進以來) 的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [文件歷史紀錄](doc-history.md) 中的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 新增 EKS 功能的政策 | 發佈 `AmazonEKSACKPolicy`、`AmazonEKSArgoCDPolicy`、 `AmazonEKSArgoCDClusterPolicy`和 `AmazonEKSKROPolicy`以管理 EKS 功能 | 2025 年 11 月 22 日 |
| 加 `AmazonEKSSecretReaderPolicy` | 為秘密的唯讀存取新增新政策 | 2025 年 11 月 6 日 |
| 新增 EKS Cluster Insights 政策 | 發布 `AmazonEKSClusterInsightsPolicy` | 2024 年 12 月 2 日 |
| 新增 Amazon EKS 混合政策 | 發布 `AmazonEKSHybridPolicy` | 2024 年 12 月 2 日 |
| 新增 Amazon EKS 自動模式政策 | 這些存取政策提供叢集 IAM 角色和節點 IAM 角色呼叫 Kubernetes APIs許可。 AWS 使用這些許可來自動化儲存、運算和聯網資源的例行任務。 | 2024 年 12 月 2 日 |
| 加 `AmazonEKSAdminViewPolicy` | 新增用於擴展檢視存取權限的新政策,包含如 Secrets 等資源。 | 2024 年 4 月 23 日 |
| 引進存取政策。 | Amazon EKS 引進了存取政策。 | 2023 年 5 月 29 日 |