**協助改進此頁面** 

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 授予 AWS 服務對 Kubernetes APIs寫入存取權
<a name="mutate-kubernetes-resources"></a>

## 所需的許可
<a name="mutate-kubernetes-resources-permissions"></a>

若要讓 AWS 服務在 Amazon EKS 叢集中的 Kubernetes 資源上執行寫入操作，您必須同時授予 `eks:AccessKubernetesApi`和 `eks:MutateViaKubernetesApi` IAM 許可。

例如，Amazon SageMaker HyperPod 使用這些許可從 SageMaker AI Studio 啟用模型部署。如需詳細資訊，請參閱《Amazon SageMaker AI 開發人員指南》中的[設定選用的 JavaScript SDK 許可](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html#sagemaker-hyperpod-model-deployment-setup-optional-js)。

**重要**  
建立、更新和刪除等寫入操作需要兩個許可，如果缺少任一許可，寫入操作將會失敗。

## CloudTrail 可見性
<a name="cloudtrail-visibility"></a>

在 Kubernetes 資源上執行寫入操作時，您會在 CloudTrail 日誌中看到特定操作名稱：
+  `createKubernetesObject` - 建立新資源時
+  `updateKubernetesObject` - 修改現有資源時
+  `deleteKubernetesObject` - 移除資源時

這些 CloudTrail 事件提供對 Kubernetes 資源所做的所有修改的詳細稽核線索。

**注意**  
這些操作名稱會出現在 CloudTrail 日誌中，僅供稽核之用。它們不是 IAM 動作，無法在 IAM 政策陳述式中使用。若要透過 IAM 政策控制對 Kubernetes 資源的寫入存取，請使用 `eks:MutateViaKubernetesApi`許可，如 [所需的許可](#mutate-kubernetes-resources-permissions)一節所示。