Amazon EKS와 통합
CloudWatch 조사는 Amazon EKS 클러스터에서 직접 정보를 활용할 수 있습니다. 시작하려면 먼저 Investigation Group
IAM 역할에 대한 액세스 권한을 부여합니다. 클러스터의 리소스에 대한 CloudWatch 조사 액세스 권한을 부여하는 벤딩 액세스 정책 AmazonAIOpsAssistantPolicy
를 사용하는 것이 좋습니다. 이 정책을 사용하면 새 기능이 추가될 때 정책 업데이트를 자동으로 받을 수 있습니다.
참고
AmazonAIOpsAssistantPolicy
는 액세스 정책입니다. CloudWatch 조사와 연결된 액세스 권한을 부여하는 자격 증명 정책은 AIOpsAssistantPolicy
입니다.
고급 구성 옵션을 사용하여 액세스 정책에서 제공하는 액세스 범위를 네임스페이스 세트 또는 전체 클러스터로 좁힙니다. 또는 액세스 항목을 Kubernetes 그룹 RBAC 권한에 연결하여 액세스 범위를 더 좁힐 수 있습니다. 자세한 내용은 액세스 항목 생성을 참조하세요.
Amazon EKS 액세스 항목 구성(콘솔)
AWS Management Console을 사용하여 조사 역할에 AmazonAIOpsAssistantPolicy
를 연결하려면 다음 단계를 따르세요.
-
CloudWatch 콘솔을 열고 조사 구성 페이지로 이동하세요.
-
Amazon EKS 액세스 섹션에서
AmazonAIOpsAssistantPolicy
를 조사 역할과 연결하는 옵션을 선택하세요. -
정책 세부 정보를 검토하고 연결을 확인하세요.
액세스 범위를 추가로 사용자 지정하는 방법:
-
Amazon EKS 액세스 섹션에서 고급 구성을 클릭하세요.
-
그러면 Amazon CloudWatch 콘솔로 리디렉션됩니다.
-
Amazon EKS 콘솔에서 다음을 수행할 수 있습니다.
-
정책 범위를 특정 네임스페이스로 지정
-
보다 세분화된 액세스 제어를 위해 그룹 기능 구성
-
Amazon EKS 액세스 항목 구성(CDK)
AWS CDK를 사용하여 Amazon EKS 액세스 항목을 구성하려면 다음 코드 예제를 사용합니다.
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
Amazon EKS 액세스 정책(AmazonAIOpsAssistantPolicy
)는 클러스터의 리소스에 대한 포괄적인 읽기 전용 액세스를 제공합니다. 각 리소스의 정보는 현재 CloudWatch 조사에서 사용하지 않을 수도 있습니다.
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
AmazonAIOpsAssistantPolicy에 대한 업데이트
변경 사항 | 설명 | 날짜 |
---|---|---|
CloudWatch 조사에 대한 정책 추가 | AmazonAIOpsAssistantPolicy 의 최초 릴리스 |
2025년 8월 9일 |