協助改進此頁面
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
Amazon Elastic Kubernetes Service 的 AWS 受管政策
AWS 管理的政策是由 AWS 建立和管理的獨立政策。AWS 管理的政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。
請謹記,AWS 受管政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法更改 AWS 受管政策中定義的許可。如果 AWS 更新了 AWS 受管政策中定義的許可,則該更新會影響政策附加的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 受管政策。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策:AmazonEKS_CNI_Policy
您可以將 AmazonEKS_CNI_Policy 連接到 IAM 實體。在建立 Amazon EC2 節點群組之前,必須將此政策連接到節點 IAM 角色,或連接到由適用於 Kubernetes 的 Amazon VPC CNI 外掛程式專門使用的 IAM 角色。這樣一來,可以代表您執行動作。我們建議您將政策連接至僅供外掛程式使用的角色。如需詳細資訊,請參閱使用 Amazon VPC CNI 將 IP 指派給 Pod及設定 Amazon VPC CNI 外掛程式以使用 IRSA。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2:*NetworkInterface和ec2:*PrivateIpAddresses– 允許 Amazon VPC CNI 外掛程式執行動作,例如佈建彈性網路介面和 Pod 的 IP 位址,以便為在 Amazon EKS 中執行的應用程式提供聯網。 -
ec2讀取動作 – 允許 Amazon VPC CNI 外掛程式執行動作,例如對執行個體與子網路進行描述,以查看 Amazon VPC 子網路中可用 IP 位址的數量。VPC CNI 可使用每個子網路中空閒的 IP 位址,選擇建立彈性網路介面時,使用最空閒 IP 位址的子網路。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKS_CNI_Policy。
AWS 受管政策:AmazonEKSClusterPolicy
您可以將 AmazonEKSClusterPolicy 連接到 IAM 實體。建立叢集之前,您必須具有連接了此政策的叢集 IAM 角色。受 Amazon EKS 管理的 Kubernetes 叢集會代表您呼叫其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
autoscaling– 讀取和更新 Auto Scaling 群組的組態。Amazon EKS 不會使用這些許可,但會保留在政策中以確保回溯相容性。 -
ec2– 使用與 Amazon EC2 節點相關聯的磁碟區和網路資源。這是必要項目,以便 Kubernetes 控制平面可以將執行個體加入叢集,並動態佈建和管理 Kubernetes 持久性磁碟區請求的 Amazon EBS 磁碟區。 -
ec2- 刪除由 VPC CNI 建立的彈性網路介面。此動作很必要,這樣一來 EKS 就能在 VPC CNI 非預期退出的情況下,清理留下的彈性網路介面。 -
elasticloadbalancing– 使用 Elastic Load Balancer,並將節點作為目標新增至 Elastic Load Balancers。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
iam– 建立服務連結角色。這是必要項目,以便 Kubernetes 控制平面可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
kms– 透過 AWS KMS 讀取金鑰。這是 Kubernetes 控制平面支援在etcd中存放的 Kubernetes 秘密之秘密加密的必要條件。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSClusterPolicy。
AWS 受管政策:AmazonEKSDashboardConsoleReadOnly
您可以將 AmazonEKSDashboardConsoleReadOnly 連接到 IAM 實體。
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
eks- 以唯讀方式存取 EKS 儀表板資料、資源及叢集版本資訊。這允許檢視 EKS 相關的指標及叢集組態詳細資訊。 -
organizations- 以唯讀方式存取 AWS Organizations 資訊,包括:-
檢視組織詳細資訊與服務存取權
-
列示組織根目錄、帳戶與組織單位
-
檢視組織結構
-
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSDashboardConsoleReadOnly。
AWS 受管政策:AmazonEKSFargatePodExecutionRolePolicy
您可以將 AmazonEKSFargatePodExecutionRolePolicy 連接到 IAM 實體。在建立 Fargate 描述檔之前,您必須先建立 Fargate Pod 執行角色並將此政策連接至該角色。如需詳細資訊,請參閱 步驟 2:建立 Fargate Pod 執行角色 及 定義哪些 Pod 在啟動時會使用 AWS Fargate。
此政策將授予此角色存取其他 AWS 服務資源的許可,以便在 Fargate 上執行 Amazon EKS Pod。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ecr– 允許在 Fargate 上執行的 Pod 提取存放在 Amazon ECR 中的容器映像。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSFargatePodExecutionRolePolicy。
AWS 受管政策:AmazonEKSForFargateServiceRolePolicy
您不得將 AmazonEKSForFargateServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 AWSServiceRoleforAmazonEKSForFargate。
此政策授予 Amazon EKS 執行 Fargate 任務的必要許可。只有在您擁有 Fargate 節點時才會使用此政策。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
ec2– 建立和刪除彈性網路介面,並描述彈性網路介面和資源。這是必要的,因此 Amazon EKS Fargate 服務可以設定 Fargate Pod 所需的 VPC 聯網。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSForFargateServiceRolePolicy。
AWS 受管政策:AmazonEKSComputePolicy
您可以將 AmazonEKSComputePolicy 連接到 IAM 實體。您可連接此政策至叢集 IAM 角色,以便擴充 EKS 可在帳戶中管理的資源。
此政策授予 Amazon EKS 針對 EKS 叢集建立及管理 EC2 執行個體的必要許可,以及設定 EC2 的必要 IAM 許可。此外,此政策還授予 Amazon EKS 代您建立 EC2 Spot 服務連結角色的許可。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2許可:-
ec2:CreateFleet和ec2:RunInstances- 允許建立 EC2 執行個體,以及使用 EKS 叢集節點的特定 EC2 資源 (影像、安全群組、子網路)。 -
ec2:CreateLaunchTemplate- 允許針對 EKS 叢集節點建立 EC2 啟動範本。 -
此外,對於透過 EKS 叢集名稱及其他相關標籤標記的資源,此政策還包括限制使用這些 EC2 許可的條件。
-
ec2:CreateTags- 允許新增標籤新增至透過CreateFleet、RunInstances與CreateLaunchTemplate動作建立的 EC2 資源。
-
-
iam許可:-
iam:AddRoleToInstanceProfile- 允許新增 IAM 角色至 EKS 運算執行個體設定檔。 -
iam:PassRole- 允許傳遞必要的 IAM 角色至 EC2 服務。
-
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSComputePolicy。
AWS 受管政策:AmazonEKSNetworkingPolicy
您可以將 AmazonEKSNetworkingPolicy 連接到 IAM 實體。您可連接此政策至叢集 IAM 角色,以便擴充 EKS 可在帳戶中管理的資源。
制定此政策旨在授予 Amazon EKS 建立及管理 EKS 叢集網路介面的必要許可,以便控制平面與工作節點能夠正常通訊及運作。
許可詳細資訊
此政策還授予以下許可,讓 Amazon EKS 能夠管理叢集的網路介面:
-
ec2網路介面許可:-
ec2:CreateNetworkInterface- 允許建立 EC2 網路介面。 -
此政策包括各種條件,旨在將此許可的使用限制為標記有 EKS 叢集名稱與 Kubernetes CNI 節點名稱的網路介面。
-
ec2:CreateTags- 允許新增標籤至透過CreateNetworkInterface動作建立的網路介面。
-
-
ec2網路介面管理許可:-
ec2:AttachNetworkInterface、ec2:DetachNetworkInterface- 允許連接網路介面與 EC2 執行個體以及將兩者分離。 -
ec2:UnassignPrivateIpAddresses、ec2:UnassignIpv6Addresses、ec2:AssignPrivateIpAddresses、ec2:AssignIpv6Addresses- 允許管理網路介面的 IP 位址指派。 -
這些許可的使用限制為標記有 EKS 叢集名稱的網路介面。
-
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSNetworkingPolicy。
AWS 受管政策:AmazonEKSBlockStoragePolicy
您可以將 AmazonEKSBlockStoragePolicy 連接到 IAM 實體。您可連接此政策至叢集 IAM 角色,以便擴充 EKS 可在帳戶中管理的資源。
此政策可授予 Amazon EKS 建立、管理及維護 EKS 叢集 EC2 磁碟區與快照的必要許可,從而支援控制平面與工作節點依據 Kubernetes 工作負載需求,來佈建及使用持續性儲存。
許可詳細資訊
此 IAM 政策可授予以下許可,以便 Amazon EKS 能夠管理 EC2 磁碟區及快照:
-
ec2磁碟區管理許可:-
ec2:AttachVolume、ec2:DetachVolume、ec2:ModifyVolume、ec2:EnableFastSnapshotRestores- 允許連接、分離、修改及啟用 EC2 磁碟區的快速快照還原。 -
這些許可的使用限制為標記有 EKS 叢集名稱的磁碟區。
-
ec2:CreateTags- 允許新增標籤至透過CreateVolume與CreateSnapshot動作建立的 EC2 磁碟區及快照。
-
-
ec2磁碟區建立許可:-
ec2:CreateVolume- 允許建立全新的 EC2 磁碟區。 -
對於透過 EKS 叢集名稱及其他相關標籤標記的磁碟區,此政策包括限制使用此許可的條件。
-
ec2:CreateSnapshot- 允許建立全新的 EC2 磁碟區快照。 -
對於透過 EKS 叢集名稱及其他相關標籤標記的快照,此政策包括限制使用此許可的條件。
-
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSBlockStoragePolicy。
AWS 受管政策:AmazonEKSLoadBalancingPolicy
您可以將 AmazonEKSLoadBalancingPolicy 連接到 IAM 實體。您可連接此政策至叢集 IAM 角色,以便擴充 EKS 可在帳戶中管理的資源。
此 IAM 政策可授予 Amazon EKS 使用各種 AWS 服務的必要許可,以便管理 Elastic Load Balancer (ELB) 及相關資源。
許可詳細資訊
此政策授予的主要許可包括:
-
elasticloadbalancing:允許建立、修改與管理 Elastic Load Balancer 及目標群組。這包括建立、更新與刪除負載平衡器、目標群組、接聽程式及規則的許可。 -
ec2:允許建立及管理 Kubernetes 控制平面聯結執行個體至叢集,以及管理 Amazon EBS 磁碟區所需的安全群組。此外還允許描述及列示 EC2 資源,例如執行個體、VPC、子網路、安全群組,以及其他聯網資源。 -
iam:允許針對 Elastic Load Balancing 建立服務連結角色,Kubernetes 控制平面動態佈建 ELB 必須使用該角色。 -
kms:允許透過 AWS KMS 讀取金鑰,Kubernetes 控制平面必須使用該支援,以支援對存放於 etcd 中的 Kubernetes 機密進行加密。 -
wafv2和shield:允許關聯及取消關聯 Web ACL,以及建立/刪除 Elastic Load Balancer 的 AWS Shield 防護。 -
cognito-idp、acm及elasticloadbalancing:授予描述使用者集區用戶端、列示並描述憑證,以及描述目標群組的許可,Kubernetes 控制平面管理 Elastic Load Balancer 必須使用這些許可。
此政策還包括多項條件檢查,以確保使用 eks:eks-cluster-name 標籤,將許可範圍限定為正在管理的特定 EKS 叢集。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSLoadBalancingPolicy。
AWS 受管政策:AmazonEKSServicePolicy
您可以將 AmazonEKSServicePolicy 連接到 IAM 實體。在 2020 年 4 月 16 日之前建立的叢集,需要您建立 IAM 角色並將此政策連接到該角色。在 2020 年 4 月 16 日或之後建立的叢集不需要您建立角色,也不需要您指派此政策。使用具有 iam:CreateServiceLinkedRole 許可的 IAM 委託人建立叢集,即會為您自動建立 AWSServiceRoleforAmazonEKS 服務連結角色。服務連結角色已連接受管政策:AmazonEKSServiceRolePolicy。
此政策允許 Amazon EKS 建立和管理操作 Amazon EKS 叢集所需的資源。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
eks– 在您開始更新之後,更新叢集的 Kubernetes 版本。Amazon EKS 不會使用這些許可,但會保留在政策中以確保回溯相容性。 -
ec2– 使用彈性網路介面及其他網路資源和標籤。Amazon EKS 要求這樣做,以設定可促進節點與 Kubernetes 控制平面之間的通訊的網路。讀取安全群組相關資訊。更新安全群組標籤。 -
route53– 將 VPC 與託管區域建立關聯。Amazon EKS 必須執行這項操作,才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。 -
logs– 日誌事件。這是必要項目,以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。 -
iam– 建立服務連結角色。這是必需的,以便 Amazon EKScan 代表您建立 Amazon EKS 的服務連結角色許可 服務連結角色。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSServicePolicy。
AWS 受管政策:AmazonEKSServiceRolePolicy
您不得將 AmazonEKSServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 Amazon EKS 的服務連結角色許可。使用具有 iam:CreateServiceLinkedRole 許可的 IAM 委託人建立叢集,即會為您自動建立 AWSServiceRoleforAmazonEKS 服務連結角色且此政策會與此連接。
此政策允許服務連結角色代表您呼叫 AWS 服務。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
ec2– 建立並描述彈性網路介面和 Amazon EC2 執行個體、叢集安全群組,以及建立叢集所需的 VPC。如需詳細資訊,請參閱 檢視叢集的 Amazon EKS 安全群組要求。讀取安全群組相關資訊。更新安全群組標籤。閱讀隨需容量保留的相關資訊。 -
ec2自動模式 – 終止 EKS 自動模式建立的 EC2 執行個體。如需詳細資訊,請參閱 利用 EKS 自動模式自動運作叢集基礎設施。 -
iam– 列出連接至 IAM 角色的所有受管政策。這是必要項目,以便 Amazon EKS 可以列出和驗證建立叢集所需的所有受管政策和許可。 -
將 VPC 與託管區域建立關聯 – Amazon EKS 必須執行這項操作,才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。
-
Log event (日誌事件) – 這是必要項目,以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
-
放置指標 – 這是必要項目,以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
-
eks- 管理叢集對項目及政策的存取權,以便精細控制誰能存取 EKS 資源,及其可執行的動作。這包括在運算、聯網、負載平衡及儲存操作方面的關聯標準存取政策。 -
elasticloadbalancing- 建立、管理及刪除與 EKS 叢集關聯的負載平衡器及其元件 (接聽程式、目標群組、憑證)。檢視負載平衡器的屬性與運作狀態。 -
events- 建立及管理各項 EventBridge 規則,以便監控與 EKS 叢集相關的 EC2 及 AWS 運作狀態事件,從而支援自動回應基礎結構變更與運作狀態提醒。 -
iam- 使用 "eks" 首碼來管理 EC2 執行個體設定檔,包括建立、刪除,以及角色關聯,管理 EKS 節點必須使用該首碼。 -
pricing&shield- 存取 AWS 定價資訊及 Shield 防護狀態,從而針對 EKS 資源啟用成本管理與進階安全功能。 -
資源清理 - 在叢集清理操作期間,安全地刪除 EKS 標記的資源,包括磁碟區、快照、啟動範本,以及網路介面。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSServiceRolePolicy。
AWS 受管政策:AmazonEKSVPCResourceController
您可將 AmazonEKSVPCResourceController 政策連接到 IAM 身分。如果您使用的是適用於 Pod 的安全群組,您必須將此政策連接至 Amazon EKS 叢集 IAM 角色,以代表您執行動作。
此政策會授予叢集角色許可,以管理節點的彈性網路介面和 IP 地址。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 管理彈性網路介面和 IP 位址,以支援 Pod 安全群組和 Windows 節點。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSVPCResourceController。
AWS 受管政策:AmazonEKSWorkerNodePolicy
您可以將 AmazonEKSWorkerNodePolicy 連接到 IAM 實體。您必須將此政策連接至您建立 Amazon EC2 節點時指定的 IAM 角色,從而可讓 Amazon EKS 代表您執行動作。如果您使用 eksctl 建立節點群組,則其會建立節點 IAM 角色並自動將此政策連接至角色。
此政策授予 Amazon EKS Amazon EC2 節點許可,以連接到 Amazon EKS 叢集。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 讀取執行個體磁碟區和網路資訊。如此一來,Kubernetes 節點才能描述節點加入 Amazon EKS 叢集所需的 Amazon EC2 資源相關資訊,這是必要的。 -
eks– 選擇性地將叢集描述為節點引導的一部分。 -
eks-auth:AssumeRoleForPodIdentity– 允許擷取節點上 EKS 工作負載的憑證。必須要有這項,EKS Pod 身分識別才能正常運作。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSWorkerNodePolicy。
AWS 受管政策:AmazonEKSWorkerNodeMinimalPolicy
您無法將 AmazonEKSWorkerNodeMinimalPolicy 附加至您的 IAM 實體。您必須將此政策連接至您建立 Amazon EC2 節點時指定的 IAM 角色,從而可讓 Amazon EKS 代表您執行動作。
此政策授予 Amazon EKS Amazon EC2 節點許可,以連接到 Amazon EKS 叢集。此政策的許可比 AmazonEKSWorkerNodePolicy 少。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
eks-auth:AssumeRoleForPodIdentity– 允許擷取節點上 EKS 工作負載的憑證。必須要有這項,EKS Pod 身分識別才能正常運作。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSWorkerNodePolicy。
AWS 受管政策:AWSServiceRoleForAmazonEKSNodegroup
您不得將 AWSServiceRoleForAmazonEKSNodegroup 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 Amazon EKS 的服務連結角色許可。
此政策可授予 AWSServiceRoleForAmazonEKSNodegroup 角色許可,允許它在您的帳戶中建立和管理 Amazon EC2 節點群組。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 使用安全群組、標籤、容量保留和啟動範本。Amazon EKS 受管節點群組必須使用該項來啟用遠端存取組態,以及描述可在受管節點群組使用的容量保留。此外,Amazon EKS 受管節點群組代表您建立啟動範本。這是為了設定支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。 -
iam– 建立服務連結角色並傳遞角色。Amazon EKS 受管節點群組必須執行這項操作,才能管理建立受管節點群組時所傳遞之角色的執行個體描述檔。此執行個體描述檔適用於作為受管節點群組一部分的 Amazon EC2 執行個體。Amazon EKS 需要為其他服務 (例如 Amazon EC2 Auto Scaling 群組) 建立服務連結角色。這些許可會用於建立受管節點群組。 -
autoscaling– 使用安全的 Auto Scaling 群組。Amazon EKS 受管節點群組必須執行這項操作,才能管理支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。它也可用來支援功能,例如在節點群組更新期間終止或回收節點時移出 Pod。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AWSServiceRoleForAmazonEKSNodegroup。
AWS 受管政策:AmazonEKSDashboardServiceRolePolicy
您不得將 AmazonEKSDashboardServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 Amazon EKS 的服務連結角色許可。
此政策可授予 AWSServiceRoleForAmazonEKSDashboard 角色許可,允許它在您的帳戶中建立和管理 Amazon EC2 節點群組。
許可詳細資訊
此政策包括下列許可,用於提供完成下列任務的存取權:
-
organizations– 檢視 Organizations AWS 結構與帳戶的相關資訊。這包括下列各種許可:列示組織中的帳戶、檢視組織單位與根目錄、列示委派管理員、檢視可存取組織的服務,以及擷取組織與帳戶的詳細資訊。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSDashboardServiceRolePolicy。
AWS 受管政策:Amazon EBS CSI 驅動程式政策
AmazonEBSCSIDriverPolicy 政策允許 Amazon EBS 容器儲存介面 (CSI) 驅動程式代表您建立、修改、連接、分離和刪除磁碟區。這包括修改現有磁碟區的標籤,以及在 EBS 磁碟區上啟用快速快照還原 (FSR)。其還授予 EBS CSI 驅動程式建立、還原及刪除快照,以及列出您的執行個體、磁碟區和快照的許可。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEBSCSIDriverServiceRolePolicy。
AWS 受管政策:AmazonEFSCSIDriverPolicy
AmazonEFSCSIDriverPolicy 政策可讓 Amazon EFS 容器儲存介面 (CSI) 代表您建立和刪除存取點。它還授予 Amazon EFS CSI 驅動程式許可,列出您的存取點檔案系統、掛載目標,以及 Amazon EC2 可用區域。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEFSCSIDriverServiceRolePolicy。
AWS 受管政策:AmazonEKSLocalOutpostClusterPolicy
您可將此政策連接至 IAM 實體。建立本機叢集之前,您必須將此政策連接至您的叢集角色。受 Amazon EKS 管理的 Kubernetes 叢集會代表您呼叫其他 AWS 服務。他們會執行此作業,以管理您搭配本服務使用的資源。
AmazonEKSLocalOutpostClusterPolicy 包含以下許可:
-
ec2讀取動作 – 允許控制平面執行個體描述可用區域、路由表、執行個體,以及網路介面屬性。Amazon EC2 執行個體作為控制平面執行個體成功加入叢集所需的許可。 -
ssm– 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon EKS 會使用該連線進行通訊並管理帳戶中的本機叢集。 -
logs– 允許執行個體將日誌推送至 Amazon CloudWatch。 -
secretsmanager– 允許執行個體安全地從 AWS Secrets Manager 取得和刪除控制平面執行個體的引導資料。 -
ecr– 允許在控制平面執行個體上執行的 Pod 和容器提取存放在 Amazon Elastic Container Registry 中的容器映像。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSLocalOutpostClusterPolicy。
AWS 受管政策:AmazonEKSLocalOutpostServiceRolePolicy
您無法將此政策連接至 IAM 實體。使用具有 iam:CreateServiceLinkedRole 許可的 IAM 主體建立叢集時,Amazon EKS 會為您自動建立 AWSServiceRoleforAmazonEKSLocalOutpost 服務連結角色且此政策會與此連接。此政策允許服務連結角色代表您為本機叢集呼叫 AWS 服務。
AmazonEKSLocalOutpostServiceRolePolicy 包含以下許可:
-
ec2– 允許 Amazon EKS 使用安全功能、網路和其他資源,成功啟動並管理帳戶中的控制平面執行個體。 -
ssm、ssmmessages– 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon EKS 會使用該連線進行通訊並管理帳戶中的本機叢集。 -
iam– 允許 Amazon EKS 管理與控制平面執行個體相關聯的執行個體設定檔。 -
secretsmanager- 允許 Amazon EKS 將控制平面執行個體的引導資料放入 AWS Secrets Manager,以便系統在執行個體引導期間可以安全參考此資料。 -
outposts– 允許 Amazon EKS 從您的帳戶取得 Outpost 資訊,以在 Outpost 中成功啟動本機叢集。
若要檢視 JSON 政策文件的最新版本,請參閱《AWS 受管政策參考指南》中的 AmazonEKSLocalOutpostServiceRolePolicy。
Amazon EKS 的 AWS 受管政策更新
檢視自此服務開始追蹤 Amazon EKS AWS 受管政策更新以來的變更詳細資訊。
如需接收有關此特定文件頁面所有來源檔案變更的通知,您可透過 RSS 閱讀器來訂閱以下 URL:
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
| 變更 | 描述 | 日期 |
|---|---|---|
|
此角色可連接全新存取政策 |
2025 年 8 月 26 日 |
|
|
新增了 |
2025 年 6 月 26 日 |
|
|
新增了許可至 AWS 受管政策:AmazonEKSComputePolicy。 |
更新了 |
2025 年 6 月 20 日 |
|
新增了許可至 AmazonEKSServiceRolePolicy。 |
新增了 |
2025 年 6 月 20 日 |
|
推出了全新 |
2025 年 6 月 19 日 |
|
|
推出了全新 |
2025 年 5 月 21 日 |
|
|
已新增許可至 AmazonEKSClusterPolicy。 |
新增了 |
2025 年 4 月 16 日 |
|
新增了許可至 AmazonEKSServiceRolePolicy。 |
作為 EKS 1.33 發行版本的一部分,新增了 |
2025 年 4 月 14 日 |
|
新增了許可至 AmazonEKSServiceRolePolicy。 |
新增了許可,以終止 EKS 自動模式建立的 EC2 執行個體。 |
2025 年 2 月 28 日 |
|
新增了許可至 AmazonEBSCSIDriverPolicy。 |
新增了新的陳述式,來授權 EBS CSI 驅動程式還原所有快照。現有的政策之前允許此操作,但由於 新增了 EBS CSI 驅動程式在現有磁碟區上修改標籤的功能。EBS CSI 驅動程式可透過 Kubernetes VolumeAttributesClasses 中的參數,來修改現有磁碟區的標籤。 新增了 EBS CSI 驅動程式在 EBS 磁碟區上啟用快速快照還原 (FSR) 的功能。藉助 EBS CSI 驅動程式,可透過 Kubernetes 儲存類別中的參數在新的磁碟區上啟用 FSR。 |
2025 年 1 月 13 日 |
|
更新了 |
2024 年 12 月 26 日 |
|
|
更新了 |
2024 年 11 月 22 日 |
|
|
新增了 |
2024 年 11 月 21 日 |
|
|
更新了 |
2024 年 11 月 20 日 |
|
|
EKS 更新了 AWS 受管政策 |
2024 年 11 月 16 日 |
|
|
EKS 更新了 AWS 受管政策 |
2024 年 11 月 7 日 |
|
|
AWS 已引進 |
2024 年 11 月 1 日 |
|
|
新增了許可至 |
新增了 |
2024 年 11 月 1 日 |
|
AWS 已引進 |
2024 年 10 月 30 日 |
|
|
AWS 已引進 |
2024 年 10 月 30 日 |
|
|
新增了許可至 AmazonEKSServiceRolePolicy。 |
新增了 |
2024 年 10 月 29 日 |
|
AWS 已引進 |
2024 年 10 月 28 日 |
|
|
新增了許可至 |
新增了 |
2024 年 10 月 10 日 |
|
AWS 已引進 |
2024 年 10 月 3 日 |
|
|
新增了 |
2024 年 8 月 21 日 |
|
|
新增了 |
2024 年 6 月 27 日 |
|
|
AmazonEKS_CNI_Policy – 更新至現有的政策 |
Amazon EKS 新增了全新的 |
2024 年 3 月 4 日 |
|
AmazonEKSWorkerNodePolicy – 更新至現有政策 |
Amazon EKS 新增了新的許可來允許 EKS Pod 身分識別。Amazon EKS Pod 身分識別代理程式使用節點角色。 |
2023 年 11 月 26 日 |
|
AWS 已引進 |
2023 年 7 月 26 日 |
|
|
已新增許可至 AmazonEKSClusterPolicy。 |
在建立負載平衡器時,新增允許 Amazon EKS 在子網路自動探索期間取得 AZ 詳細資訊的 |
2023 年 2 月 7 日 |
|
已更新 AmazonEBSCSIDriverPolicy 中的政策條件。 |
已移除在 |
2022 年 11 月 17 日 |
|
已新增 |
2022 年 10 月 24 日 |
|
|
更新 AmazonEKSLocalOutpostClusterPolicy 中的 Amazon Elastic Container Registry 許可。 |
已將動作 |
2022 年 10 月 20 日 |
|
已新增 |
2022 年 8 月 31 日 |
|
|
AWS 已引進 |
2022 年 8 月 24 日 |
|
|
AWS 已引進 |
2022 年 8 月 23 日 |
|
|
引進 Amazon EBS CSI Driver Policy (Amazon EBS CSI 驅動程式政策)。 |
AWS 引進 |
2022 年 4 月 4 日 |
|
已新增許可至 AmazonEKSWorkerNodePolicy。 |
已新增 |
2022 年 3 月 21 日 |
|
已新增 |
2021 年 12 月 13 日 |
|
|
已新增許可至 AmazonEKSClusterPolicy。 |
已新增 |
2021 年 6 月 17 日 |
|
Amazon EKS 已開始追蹤變更。 |
Amazon EKS 已開始追蹤其 AWS 受管政策的變更 |
2021 年 6 月 17 日 |
