Integration mit Amazon EKS - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integration mit Amazon EKS

CloudWatch Untersuchungen können Informationen direkt aus Ihrem Amazon EKS-Cluster nutzen. Um loszulegen, gewähren Sie zunächst Zugriff auf die Investigation Group IAM-Rolle. Wir empfehlen, die Vended-Access-Richtlinie zu verwendenAmazonAIOpsAssistantPolicy, die CloudWatch Untersuchungen Zugriff auf Ressourcen im Cluster gewährt. Wenn Sie diese Richtlinie verwenden, erhalten Sie automatisch Richtlinienaktualisierungen, sobald neue Funktionen hinzugefügt werden.

Anmerkung

AmazonAIOpsAssistantPolicyist eine Zugriffsrichtlinie. Die Identitätsrichtlinie, die den Zugriff im Zusammenhang mit CloudWatch Ermittlungen autorisiert, ist AIOpsAssistantPolicy.

Verwenden Sie die Option Erweiterte Konfiguration, um den durch die Zugriffsrichtlinie bereitgestellten Zugriff auf eine Reihe von Namespaces oder den gesamten Cluster einzuschränken. Alternativ können Sie den Zugriff weiter einschränken, indem Sie den Zugriffseintrag einer Kubernetes-Gruppen-RBAC-Berechtigung zuordnen. Weitere Informationen finden Sie unter Zugriffseinträge erstellen.

Konfiguration des Amazon EKS-Zugriffseintrags (Konsole)

Gehen Sie wie folgt vorAmazonAIOpsAssistantPolicy, um den mithilfe der AWS Management-Konsole der Rolle „Untersuchung“ zuzuordnen:

  1. Öffnen Sie die CloudWatch Konsole und navigieren Sie zur Seite „Investigations Configuration“.

  2. Wählen Sie im Bereich Amazon EKS Access die Option aus, um das AmazonAIOpsAssistantPolicy mit Ihrer Ermittlungsrolle zu verknüpfen.

  3. Überprüfen Sie die Richtliniendetails und bestätigen Sie die Zuordnung.

Um den Zugriffsbereich weiter anzupassen:

  1. Klicken Sie im Bereich Amazon EKS Access auf Erweiterte Konfiguration.

  2. Sie werden zur Amazon EKS-Konsole weitergeleitet.

  3. In der Amazon EKS-Konsole können Sie:

    1. Die Richtlinie auf bestimmte Namespaces ausdehnen

    2. Konfigurieren Sie die Gruppenfunktion für eine detailliertere Zugriffskontrolle

Konfiguration von Amazon EKS Access-Einträgen (CDK)

Verwenden Sie das folgende Codebeispiel, um Amazon EKS Access AWS Entries mithilfe des CDK zu konfigurieren:

const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });

Amazon AIOps AssistantPolicy

Die Amazon EKS-Zugriffsrichtlinie bietet umfassenden Lesezugriff auf Ressourcen im Cluster. AmazonAIOpsAssistantPolicy Informationen aus den einzelnen Ressourcen werden derzeit möglicherweise nicht von CloudWatch Investigations verwendet.

- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list

Updates bei Amazon AIOps AssistantPolicy

Änderung Beschreibung Datum
Richtlinie für CloudWatch Untersuchungen hinzufügen Erstversion von AmazonAIOpsAssistantPolicy 9. August 2025