AWS verwaltete Richtlinien für Amazon Elastic Kubernetes Service - Amazon EKS
AmazonEKS_CNI_PolicyAmazonEKS ClusterPolicyAmazonEKS FargatePodExecutionRolePolicyAmazonEKS ForFargateServiceRolePolicyAmazonEKS ServicePolicyAmazonEKS ServiceRolePolicyAmazonEksVPC ResourceControllerAmazonEKS WorkerNodePolicyAWS ServiceRoleForAmazonEksNode GroupAmazon EBSCSI DriverPolicyAmazon EFSCSI DriverPolicyAmazonEKS LocalOutpostClusterPolicyAmazonEKS LocalOutpostServiceRolePolicyRichtlinienaktualisierungen

Helfen Sie mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Richtlinien für Amazon Elastic Kubernetes Service

Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Denken Sie daran, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle AWS Kunden verfügbar sind. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie kundenverwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter Von AWS verwaltete Richtlinien im IAM-Benutzerhandbuch.

AWS verwaltete Richtlinie: Amazoneks_CNI_Policy

Sie können die AmazonEKS_CNI_Policy an Ihre IAM-Entitäten anhängen. Bevor Sie eine Amazon-EC2-Knotengruppe erstellen, muss diese Richtlinie entweder an die Knoten-IAM-Rolle oder an eine IAM-Rolle angehängt werden, die speziell vom Amazon VPC CNI plugin for Kubernetes verwendet wird. Dies dient dazu, Aktionen in Ihrem Namen auszuführen. Wir empfehlen, dass Sie die Richtlinie an eine Rolle anhängen, die nur vom Plugin verwendet wird. Weitere Informationen finden Sie unter Arbeiten mit dem Amazon VPC CNI plugin for Kubernetes-Amazon-EKS-Add-on und Konfigurieren der Amazon VPC CNI plugin for Kubernetes zur Verwendung von IAM-Rollen für Servicekonten (IRSA).

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2:*NetworkInterfaceund ec2:*PrivateIpAddresses — Ermöglicht dem Amazon VPC CNI-Plugin, Aktionen wie die Bereitstellung von Elastic Network Interfaces und IP-Adressen durchzuführen, Pods um Netzwerke für Anwendungen bereitzustellen, die in Amazon EKS ausgeführt werden.

  • ec2Aktionen lesen — Ermöglicht dem Amazon VPC CNI-Plugin, Aktionen wie das Beschreiben von Instances und Subnetzen durchzuführen, um die Anzahl der freien IP-Adressen in Ihren Amazon VPC-Subnetzen zu sehen. Das VPC CNI kann die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen auszuwählen, die bei der Erstellung einer elastischen Netzwerkschnittstelle verwendet werden sollen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS_CNI_Policy im Managed Policy Reference Guide. AWS

AWS verwaltete Richtlinie: AmazonEKS ClusterPolicy

Sie können AmazonEKSClusterPolicy an Ihre IAM-Entitäten anhängen. Bevor Sie einen Cluster erstellen, müssen Sie über eine Cluster-IAM-Rolle verfügen, der diese Richtlinie beigefügt ist. KubernetesCluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Services auf. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • autoscaling – Lesen und aktualisieren Sie die Konfiguration einer Auto-Scaling-Gruppe. Diese Berechtigungen werden von Amazon EKS nicht verwendet, verbleiben jedoch aus Gründen der Abwärtskompatibilität in der Richtlinie.

  • ec2 – Arbeiten Sie mit Volumes und Netzwerkressourcen, die Amazon EC2-Knoten zugeordnet sind. Dies ist erforderlich, damit die Kubernetes-Steuerebene Instances zu einem Cluster verbinden und von persistenten Kubernetes-Volumes angeforderte Amazon-EBS-Volumes dynamisch bereitstellen und verwalten kann.

  • elasticloadbalancing – Arbeiten Sie mit Elastic Load Balancern und fügen Sie ihnen Knoten als Ziele hinzu. Dies ist erforderlich, damit die Kubernetes-Steuerebene von Kubernetes-Diensten angeforderte Elastic Load Balancer dynamisch bereitstellen kann.

  • iam – Erstellen einer serviceverknüpften Rolle. Dies ist erforderlich, damit die Kubernetes-Steuerebene von Kubernetes-Diensten angeforderte Elastic Load Balancer dynamisch bereitstellen kann.

  • kms – Lesen Sie einen Schlüssel von AWS KMS. Dies ist erforderlich, damit die Kubernetes-Steuerebene die Secrets-Verschlüsselung von Kubernetes-Secrets unterstützt, die in etcd gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS ClusterPolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEKS FargatePodExecutionRolePolicy

Sie können AmazonEKSFargatePodExecutionRolePolicy an Ihre IAM-Entitäten anhängen. Bevor Sie ein Fargate-Profil erstellen können, müssen Sie eine Fargate-Pod-Ausführungsrolle erstellen und diese Richtlinie an diese anhängen. Weitere Informationen finden Sie unter Erstellen einer Fargate-Pod-Ausführungsrolle und AWS Fargate Profil.

Diese Richtlinie gewährt der Rolle die Berechtigungen, die den Zugriff auf andere AWS Serviceressourcen ermöglichen, die für die Ausführung von Amazon EKS Pods auf Fargate erforderlich sind.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ecr – Ermöglicht Pods, die auf Fargate ausgeführt werden, Container-Images abzurufen, die in Amazon ECR gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS FargatePodExecutionRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEKS ForFargateServiceRolePolicy

Sie können AmazonEKSForFargateServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter AWSServiceRoleforAmazonEKSForFargate.

Diese Richtlinie erteilt Amazon EKS die erforderlichen Berechtigungen zum Ausführen von Fargate-Aufgaben. Die Richtlinie wird nur verwendet, wenn Sie über Fargate-Knoten verfügen.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

  • ec2 – Erstellen und löschen Sie Elastic Network Interfaces und beschreiben Sie Elastic Network Interfaces und Ressourcen. Dies ist erforderlich, damit der Amazon-EKS-Fargate-Service das für Fargate-Pods erforderliche VPC-Netzwerk konfigurieren kann.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS ForFargateServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEKS ServicePolicy

Sie können AmazonEKSServicePolicy an Ihre IAM-Entitäten anhängen. Für Cluster, die vor dem 16. April 2020 erstellt wurden, mussten Sie eine IAM-Rolle erstellen und diese Richtlinie anhängen. Für Cluster, die am oder nach dem 16. April 2020 erstellt wurden, müssen Sie keine Rolle erstellen und diese Richtlinie nicht zuweisen. Wenn Sie einen Cluster mithilfe eines IAM-Prinzipals erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, wird die dienstbezogene AWS ServiceRoleforAmazonEKS-Rolle automatisch für Sie erstellt. An die serviceverknüpfte Rolle ist das AWS verwaltete Richtlinie: AmazonEKS ServiceRolePolicy angehängt.

Diese Richtlinie ermöglicht Amazon EKS, die erforderlichen Ressourcen für den Betrieb von Amazon-EKS-Clustern zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

  • eks – Aktualisieren Sie die Kubernetes-Version Ihres Clusters, nachdem Sie ein Update initiiert haben. Diese Berechtigung wird von Amazon EKS nicht verwendet, verbleibt jedoch aus Gründen der Abwärtskompatibilität in der Richtlinie.

  • ec2 – Arbeiten Sie mit Elastic Network Interfaces und anderen Netzwerkressourcen und Tags. Dies wird von Amazon EKS benötigt, um ein Netzwerk zu konfigurieren, das die Kommunikation zwischen Knoten und der Kubernetes-Steuerebene erleichtert.

  • route53 – Verknüpfen Sie eine VPC mit einer gehosteten Zone. Dies wird von Amazon EKS benötigt, um ein privates Endpunktnetzwerk für Ihren Kubernetes-Cluster-API-Server zu aktivieren.

  • logs – Protokollereignisse Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes Kontrollebene an versenden kann CloudWatch.

  • iam – Erstellen einer serviceverknüpften Rolle. Dies ist erforderlich, damit Amazon EKS die serviceverknüpfte AWSServiceRoleForAmazonEKS-Rolle in Ihrem Namen erstellt.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS ServicePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEKS ServiceRolePolicy

Sie können AmazonEKSServiceRolePolicy nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon EKS. Wenn Sie einen Cluster mithilfe eines IAM-Prinzipals erstellen, der über die iam:CreateServiceLinkedRole entsprechende Berechtigung verfügt, wird die mit dem Dienst verknüpfte AWS ServiceRoleforAmazonEKS-Rolle automatisch für Sie erstellt, und diese Richtlinie wird ihr zugeordnet.

Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, AWS Dienste in Ihrem Namen aufzurufen.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen.

  • ec2 – Erstellen und Beschreiben der Elastic Network Interfaces und Amazon-EC2-Instances, der Cluster-Sicherheitsgruppe und der VPC, die für die Cluster-Erstellung erforderlich sind.

  • iam – Listen Sie alle verwalteten Richtlinien auf, die einer IAM-Rolle zugeordnet sind. Dies ist erforderlich, damit Amazon EKS alle verwalteten Richtlinien und Berechtigungen auflisten und validieren kann, die zum Erstellen von Clustern erforderlich sind.

  • Eine VPC mit einer gehosteten Zone verknüpfen – Dies wird von Amazon EKS benötigt, um ein privates Endpunktnetzwerk für Ihren Kubernetes-Cluster-API-Server zu aktivieren.

  • Ereignis protokollieren — Dies ist erforderlich, damit Amazon EKS die Protokolle der Kubernetes Kontrollebene an senden kann CloudWatch.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS ServiceRolePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEksVPC ResourceController

Sie können die AmazonEKSVPCResourceController-Richtlinie an Ihre IAM-Identitäten anfügen. Wenn Sie Sicherheitsgruppen für Pods verwenden, müssen Sie diese Richtlinie an Ihr Amazon-EKS-Cluster-IAM-Rolle anhängen, um Aktionen in Ihrem Namen auszuführen.

Diese Richtlinie gewährt der Clusterrolle Berechtigungen zum Verwalten von Elastic Network Interfaces und IP-Adressen für Knoten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2 – Verwalten Sie Elastic Network Interfaces und IP-Adressen, um Pod-Sicherheitsgruppen und Windows-Knoten zu unterstützen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEksVPC ResourceController im Managed Policy Reference Guide. AWS

AWS verwaltete Richtlinie: AmazonEKS WorkerNodePolicy

Sie können die AmazonEKSWorkerNodePolicy an Ihre IAM-Entitäten anhängen. Sie müssen diese Richtlinie an eine Knoten-IAM-Rolle anhängen, die Sie angeben, wenn Sie Amazon EC2-Knoten erstellen, die es Amazon EKS ermöglichen, Aktionen in Ihrem Namen auszuführen. Wenn Sie eine Knotengruppe mit eksctl erstellen, wird die Knoten-IAM-Rolle erstellt und diese Richtlinie automatisch an die Rolle angehängt.

Diese Richtlinie gewährt Amazon EKS Amazon EC2-Knoten Berechtigungen zum Herstellen einer Verbindung mit Amazon-EKS-Clustern.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2 – Lesen Sie Informationen zum Instance-Volumen und zum Netzwerk. Dies ist erforderlich, damit Kubernetes-Knoten Informationen zu Amazon-EC2-Ressourcen beschreiben können, die für den Knoten erforderlich sind, um dem Amazon-EKS-Cluster beizutreten.

  • eks – Beschreiben Sie optional den Cluster als Teil des Knoten-Bootstrappings.

  • eks-auth:AssumeRoleForPodIdentity – Erlauben Sie das Abrufen von Anmeldeinformationen für EKS-Workloads auf dem Knoten. Dies ist erforderlich, damit EKS Pod Identity ordnungsgemäß funktioniert.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS WorkerNodePolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AWSServiceRoleForAmazonEKSNodegroup

Sie können AWS ServiceRoleForAmazonEKSNodegroup nicht an Ihre IAM-Entitäten anhängen. Diese Richtlinie ist mit einer servicegebundenen Rolle verknüpft, die es Amazon EKS ermöglicht, Aktionen in Ihrem Namen durchzuführen. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigungen für Amazon EKS.

Diese Richtlinie gewährt der AWS ServiceRoleForAmazonEKSNodegroup-Rolle Berechtigungen, die es ihr ermöglichen, Amazon EC2-Knotengruppen in Ihrem Konto zu erstellen und zu verwalten.

Details zu Berechtigungen

Diese Richtlinie enthält die folgenden Berechtigungen, die es Amazon EKS ermöglichen, die folgenden Aufgaben auszuführen:

  • ec2— Arbeiten Sie mit Sicherheitsgruppen, Tags, Kapazitätsreservierungen und Startvorlagen. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Konfiguration des Fernzugriffs zu ermöglichen und Kapazitätsreservierungen zu beschreiben, die in verwalteten Knotengruppen verwendet werden können. Darüber hinaus erstellen von Amazon EKS verwaltete Knotengruppen in Ihrem Namen eine Startvorlage. Dies dient zum Konfigurieren der Amazon EC2 Auto Scaling-Gruppe, die jede verwaltete Knotengruppe unterstützt.

  • iam – Erstellen einer serviceverknüpften Rolle und Übergeben einer Rolle. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um Instance-Profile für die Rolle zu verwalten, die beim Erstellen einer verwalteten Knotengruppe übergeben wird. Dieses Instance-Profil wird von Amazon-EC2-Instances verwendet, die als Teil einer verwalteten Knotengruppe gestartet werden. Amazon EKS muss serviceverknüpfte Rollen für andere Services wie Amazon EC2 Auto Scaling-Gruppen erstellen. Diese Berechtigungen werden bei der Erstellung einer verwalteten Knotengruppe verwendet.

  • autoscaling – Arbeiten Sie mit Sicherheitsgruppen für Auto Scaling. Dies ist für von Amazon EKS verwaltete Knotengruppen erforderlich, um die Amazon EC2 Auto Scaling-Gruppe zu verwalten, die jede verwaltete Knotengruppe unterstützt. Es wird auch verwendet, um Funktionen wie das Entfernen von Pods zu unterstützen, wenn Knoten während Knotengruppenaktualisierungen beendet oder recycelt werden.

Die neueste Version des JSON-Richtliniendokuments finden Sie AWSServiceRoleForAmazonEKSNodegroupim AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEBSCSI DriverPolicy

Die AmazonEBSCSIDriverPolicy-Richtlinie ermöglicht es dem Amazon-EBS-Container-Storage-Interface-Treiber (CSI), Volumes in Ihrem Namen zu erstellen, zu ändern, anzuhängen, zu trennen und zu löschen. Es gewährt dem EBS CSI-Treiber auch Berechtigungen zum Erstellen und Löschen von Snapshots sowie zum Auflisten Ihrer Instances, Volumes und Snapshots.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEBSCSI DriverServiceRolePolicy im Managed Policy Reference Guide. AWS

AWS verwaltete Richtlinie: AmazonEFSCSI DriverPolicy

Die AmazonEFSCSIDriverPolicy-Richtlinie ermöglicht es dem Amazon EFS Container Storage Interface (CSI), Zugriffspunkte in Ihrem Namen zu erstellen und zu löschen. Es gewährt dem Amazon-EFS-CSI-Treiber außerdem Berechtigungen zum Auflisten Ihrer Zugriffspunkte, Dateisysteme, Mount-Ziele und Amazon-EC2-Verfügbarkeitszonen.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEFSCSI DriverServiceRolePolicy im Managed Policy Reference Guide. AWS

AWS verwaltete Richtlinie: AmazonEKS LocalOutpostClusterPolicy

Sie können diese Richtlinie mit IAM-Entitäten verknüpfen. Bevor Sie einen lokalen Cluster erstellen, müssen Sie diese Richtlinie an Ihre Clusterrolle anhängen. KubernetesCluster, die von Amazon EKS verwaltet werden, rufen in Ihrem Namen andere AWS Services auf. Sie tun dies, um die Ressourcen zu verwalten, die Sie mit dem Service verwenden.

Die AmazonEKSLocalOutpostClusterPolicy umfasst folgende Berechtigungen.

  • ec2 – Erforderliche Berechtigungen für Amazon-EC2-Instances, um dem Cluster erfolgreich als Steuerebene-Instances beizutreten.

  • ssm – Ermöglicht Amazon EC2 Systems Manager eine Verbindung mit der Instance auf Steuerebene, die von Amazon EKS für die Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.

  • logs— Ermöglicht Instances, Logs an Amazon zu übertragen CloudWatch.

  • secretsmanager— Ermöglicht Instances das sichere Abrufen und Löschen von AWS Secrets Manager Bootstrap-Daten für Instances auf der Kontrollebene.

  • ecr – Ermöglicht Pods und Containern, die auf Instances auf der Steuerebene ausgeführt werden, das Abrufen von Container-Images, die in Amazon Elastic Container Registry gespeichert sind.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS LocalOutpostClusterPolicy im AWS Managed Policy Reference Guide.

AWS verwaltete Richtlinie: AmazonEKS LocalOutpostServiceRolePolicy

Sie können diese Richtlinie nicht mit Ihren IAM-Entitäten verknüpfen. Wenn Sie einen Cluster mit einem IAM-Prinzipal erstellen, der über die iam:CreateServiceLinkedRole-Berechtigung verfügt, erstellt Amazon EKS automatisch die serviceverknüpfte Rolle AWSServiceRoleforAmazonEKSLocalOutpost für Sie und fügt diese Richtlinie daran an. Diese Richtlinie ermöglicht es der serviceverknüpften Rolle, in Ihrem Namen AWS Dienste für lokale Cluster aufzurufen.

Die AmazonEKSLocalOutpostServiceRolePolicy umfasst folgende Berechtigungen.

  • ec2 – Ermöglicht Amazon EKS die Zusammenarbeit mit Sicherheits-, Netzwerk- und anderen Ressourcen, um Instances der Steuerebene in Ihrem Konto erfolgreich zu starten und zu verwalten.

  • ssm – Ermöglicht Amazon EC2 Systems Manager eine Verbindung mit der Instances auf Steuerebene, die von Amazon EKS für die Kommunikation und Verwaltung des lokalen Clusters in Ihrem Konto verwendet wird.

  • iam – Ermöglicht Amazon EKS die Verwaltung des Instance-Profils, das den Instances auf Steuerebene zugeordnet ist.

  • secretsmanager— Ermöglicht Amazon EKS, Bootstrap-Daten für die Instances auf der Kontrollebene zu speichern, AWS Secrets Manager sodass sie beim Instance-Bootstrapping sicher referenziert werden können.

  • outposts – Ermöglicht Amazon EKS, Outpost-Informationen von Ihrem Konto abzurufen, um einen lokalen Cluster in einem Outpost erfolgreich zu starten.

Die neueste Version des JSON-Richtliniendokuments finden Sie unter AmazonEKS LocalOutpostServiceRolePolicy im AWS Managed Policy Reference Guide.

Amazon EKS-Updates für AWS verwaltete Richtlinien

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Amazon EKS an, seit dieser Service begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatisch über Änderungen an dieser Seite benachrichtigt werden möchten, abonnieren Sie den RSS-Feed auf der Dokumentverlaufsseite von Amazon EKS.

Änderung Beschreibung Datum

Berechtigungen wurden hinzugefügt zu AWSServiceRoleForAmazonEKSNodegroup.

Es wurde die ec2:DescribeCapacityReservations Erlaubnis hinzugefügt, Amazon EKS zu erlauben, die Kapazitätsreservierung im Benutzerkonto zu beschreiben. Es wurde die autoscaling:PutScheduledUpdateGroupAction Berechtigung hinzugefügt, die Einstellung der geplanten Skalierung für CAPACITY_BLOCK Knotengruppen zu aktivieren.

 27. Juni 2024

Amazoneks_CNI_Policy — Aktualisierung einer bestehenden Richtlinie

Amazon EKS hat neue ec2:DescribeSubnets Berechtigungen hinzugefügt, damit Amazon VPC CNI plugin for Kubernetes sie die Anzahl der freien IP-Adressen in Ihren Amazon VPC-Subnetzen sehen können.

Das VPC CNI kann die freien IP-Adressen in jedem Subnetz verwenden, um die Subnetze mit den meisten freien IP-Adressen auszuwählen, die bei der Erstellung einer elastischen Netzwerkschnittstelle verwendet werden sollen.

 4. März 2024

AmazonEKS WorkerNodePolicy — Aktualisierung einer bestehenden Richtlinie

Amazon EKS wurden neue Berechtigungen hinzugefügt, die EKS-Pod-Identitäten zulassen.

Der Amazon EKS Pod Identity-Agent verwendet die Knotenrolle.

 26. November 2023

DriverPolicyAmazonEFSCSI eingeführt.

AWS führte das ein. AmazonEFSCSIDriverPolicy

 26. Juli 2023

Berechtigungen zu AmazonEks ClusterPolicy hinzugefügt.

Die ec2:DescribeAvailabilityZones-Berechtigung wurde hinzugefügt, damit Amazon EKS die AZ-Details während der automatischen Subnetzerkennung beim Erstellen von Load Balancern abrufen kann.

 07. Februar 2023

Die Richtlinienbedingungen in DriverPolicyAmazonEBSCSI wurden aktualisiert.

Ungültige Richtlinienbedingungen mit Platzhalterzeichen im StringLike-Schlüsselfeld wurden entfernt. Außerdem wurde eine neue Bedingung ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" zu ec2:DeleteVolume hinzugefügt, die es dem EBS-CSI-Treiber ermöglicht, vom In-Tree-Plugin erstellte Volumes zu löschen.

 17. November 2022

Berechtigungen zu AmazonEks LocalOutpostServiceRolePolicy hinzugefügt.

ec2:DescribeVPCAttribute, ec2:GetConsoleOutput und ec2:DescribeSecret wurden hinzugefügt, um eine bessere Validierung der Voraussetzungen und eine bessere Kontrolle des Lebenszyklus zu ermöglichen. Außerdem wurden ec2:DescribePlacementGroups und "arn:aws:ec2:*:*:placement-group/*" zu ec2:RunInstances hinzugefügt, um die Platzierungskontrolle der Steuerebene von Amazon-EC2-Instances auf Outposts zu unterstützen.

 24. Oktober 2022

Aktualisieren Sie die Amazon Elastic Container Registry-Berechtigungen in AmazonEKS LocalOutpostClusterPolicy.

Die Aktion ecr:GetDownloadUrlForLayer wurde von allen Ressourcenabschnitten in einen Bereich mit begrenztem Umfang verschoben. Ressource arn:aws:ecr:*:*:repository/eks/* wurde hinzugefügt. Entfernen Sie die Ressource arn:aws:ecr:*:*:repository/eks/eks-certificates-controller-public. Diese Ressource wird durch die hinzugefügte arn:aws:ecr:*:*:repository/eks/*-Ressource abgedeckt.

 20. Oktober 2022

Berechtigungen zu AmazonEks LocalOutpostClusterPolicy hinzugefügt.

Das arn:aws:ecr:*:*:repository/kubelet-config-updater Repository der Amazon-Elastic-Container-Registry wurde hinzugefügt, damit die Cluster-Steuerebenen-Instances einige kubelet-Argumente aktualisieren können.

 31. August 2022

Einführung von AmazonEks LocalOutpostClusterPolicy.

AWS führte das ein. AmazonEKSLocalOutpostClusterPolicy

 24. August 2022

Einführung von AmazonEks LocalOutpostServiceRolePolicy.

AWS führte das ein. AmazonEKSLocalOutpostServiceRolePolicy

 23. August 2022

Einführung von AmazonEBSCSI DriverPolicy.

AWS führte das ein. AmazonEBSCSIDriverPolicy

 4. April 2022

Berechtigungen zu AmazonEks WorkerNodePolicy hinzugefügt.

ec2:DescribeInstanceTypes hinzugefügt, um Amazon-EKS-optimierte AMIs zu ermöglichen, die Eigenschaften auf Ebene von Instances automatisch erkennen können.

 21. März 2022

Es wurden Berechtigungen für hinzugefügt. AWSServiceRoleForAmazonEKSNodegroup

autoscaling:EnableMetricsCollection-Berechtigung hinzugefügt, um Amazon EKS die Aktivierung der Kennzahlenerfassung zu ermöglichen.

13. Dezember 2021

Berechtigungen zu AmazonEks ClusterPolicy hinzugefügt.

ec2:DescribeAccountAttributes-, ec2:DescribeAddresses- und ec2:DescribeInternetGateways-Berechtigungen hinzugefügt, damit Amazon EKS eine serviceverknüpfte Rolle für einen Network Load Balancer erstellen kann.

 17. Juni 2021

Amazon EKS hat mit der Nachverfolgung von Änderungen begonnen.

Amazon EKS hat damit begonnen, Änderungen für seine AWS verwalteten Richtlinien nachzuverfolgen.

 17. Juni 2021