Amazon EKS와 통합 - Amazon CloudWatch
Amazon EKS 액세스 항목 구성(콘솔)Amazon EKS 액세스 항목 구성(CDK)AmazonAIOpsAssistantPolicyAmazonAIOpsAssistantPolicy에 대한 업데이트

Amazon EKS와 통합

CloudWatch 조사는 Amazon EKS 클러스터에서 직접 정보를 활용할 수 있습니다. 시작하려면 먼저 Investigation Group IAM 역할에 대한 액세스 권한을 부여합니다. 클러스터의 리소스에 대한 CloudWatch 조사 액세스 권한을 부여하는 벤딩 액세스 정책 AmazonAIOpsAssistantPolicy를 사용하는 것이 좋습니다. 이 정책을 사용하면 새 기능이 추가될 때 정책 업데이트를 자동으로 받을 수 있습니다.

참고

AmazonAIOpsAssistantPolicy는 액세스 정책입니다. CloudWatch 조사와 연결된 액세스 권한을 부여하는 자격 증명 정책은 AIOpsAssistantPolicy입니다.

고급 구성 옵션을 사용하여 액세스 정책에서 제공하는 액세스 범위를 네임스페이스 세트 또는 전체 클러스터로 좁힙니다. 또는 액세스 항목을 Kubernetes 그룹 RBAC 권한에 연결하여 액세스 범위를 더 좁힐 수 있습니다. 자세한 내용은 액세스 항목 생성을 참조하세요.

Amazon EKS 액세스 항목 구성(콘솔)

AWS Management Console을 사용하여 조사 역할에 AmazonAIOpsAssistantPolicy를 연결하려면 다음 단계를 따르세요.

  1. CloudWatch 콘솔을 열고 조사 구성 페이지로 이동하세요.

  2. Amazon EKS 액세스 섹션에서 AmazonAIOpsAssistantPolicy를 조사 역할과 연결하는 옵션을 선택하세요.

  3. 정책 세부 정보를 검토하고 연결을 확인하세요.

액세스 범위를 추가로 사용자 지정하는 방법:

  1. Amazon EKS 액세스 섹션에서 고급 구성을 클릭하세요.

  2. 그러면 Amazon CloudWatch 콘솔로 리디렉션됩니다.

  3. Amazon EKS 콘솔에서 다음을 수행할 수 있습니다.

    1. 정책 범위를 특정 네임스페이스로 지정

    2. 보다 세분화된 액세스 제어를 위해 그룹 기능 구성

Amazon EKS 액세스 항목 구성(CDK)

AWS CDK를 사용하여 Amazon EKS 액세스 항목을 구성하려면 다음 코드 예제를 사용합니다.


    const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
        cluster: eksCluster,
        principal: investigationsIamRole.roleArn,
        accessPolicies: [
            AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
                accessScopeType: AccessScopeType.CLUSTER
            }),
        ],
    });

AmazonAIOpsAssistantPolicy

Amazon EKS 액세스 정책(AmazonAIOpsAssistantPolicy)는 클러스터의 리소스에 대한 포괄적인 읽기 전용 액세스를 제공합니다. 각 리소스의 정보는 현재 CloudWatch 조사에서 사용하지 않을 수도 있습니다.


    - apiGroups: [""]
      resources:
        - pods
        - pods/log
        - services
        - nodes
        - namespaces
        - events
        - persistentvolumes
        - persistentvolumeclaims
        - configmaps
      verbs:
        - get
        - list

    - apiGroups: ["apps"]
      resources:
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
      verbs:
        - get
        - list

    - apiGroups: ["batch"]
      resources:
        - jobs
        - cronjobs
      verbs:
        - get
        - list

    - apiGroups: ["events.k8s.io"]
      resources:
        - events
      verbs:
        - get
        - list

    - apiGroups: ["networking.k8s.io"]
      resources:
        - ingresses
        - ingressclasses
      verbs:
        - get
        - list

    - apiGroups: ["storage.k8s.io"]
      resources:
        - storageclasses
      verbs:
        - get
        - list

    - apiGroups: ["metrics.k8s.io"]
      resources:
        - pods
        - nodes
      verbs:
        - get
        - list

AmazonAIOpsAssistantPolicy에 대한 업데이트

변경 사항 설명 날짜
CloudWatch 조사에 대한 정책 추가 AmazonAIOpsAssistantPolicy의 최초 릴리스 2025년 8월 9일