Integração com o Amazon EKS - Amazon CloudWatch

Integração com o Amazon EKS

As investigações do CloudWatch podem usar as informações diretamente do cluster do Amazon EKS. Para começar, primeiro conceda acesso ao perfil de Investigation Group do IAM. Recomendamos usar a política de acesso AmazonAIOpsAssistantPolicy fornecida que concede às investigações do CloudWatch acesso aos recursos no cluster. Ao usar essa política, você receberá automaticamente atualizações de políticas à medida que novos recursos forem adicionados.

nota

AmazonAIOpsAssistantPolicy é uma política de acesso. A política de identidade que autoriza o acesso associado às investigações do CloudWatch é AIOpsAssistantPolicy.

Use a opção Configuração avançada para reduzir o escopo do acesso fornecido pela política de acesso a um conjunto de namespaces ou a todo o cluster. Como alternativa, você pode reduzir ainda mais o acesso associando a entrada de acesso a uma permissão RBAC do grupo do Kubernetes. Para obter mais informações, consulte Criar entradas de acesso.

Configuração da entrada de acesso do Amazon EKS (console)

Para associar a política AmazonAIOpsAssistantPolicy ao perfil de investigação usando o Console de Gerenciamento da AWS, siga estas etapas:

  1. Abra o console do CloudWatch e navegue até a página Configuração de investigações.

  2. Na seção de acesso do Amazon EKS, selecione a opção de associar a política AmazonAIOpsAssistantPolicy ao seu perfil de investigação.

  3. Analise os detalhes da política e confirme a associação.

Para personalizar ainda mais o escopo de acesso:

  1. Clique em Configuração avançada na seção de acesso do Amazon EKS.

  2. Você será redirecionado para o console do Amazon EKS.

  3. No console do Amazon EKS, você pode:

    1. Definir o escopo da política para namespaces específicos

    2. Configurar o recurso de grupo para um controle de acesso mais granular

Configuração de entradas de acesso do Amazon EKS (CDK)

Para configurar as entradas de acesso do Amazon EKS usando o AWS CDK, use o seguinte exemplo de código:

const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });

AmazonAIOpsAssistantPolicy

A política de acesso do Amazon EKS, AmazonAIOpsAssistantPolicy, fornece acesso abrangente somente leitura aos recursos no cluster. As informações de cada recurso podem não ser utilizadas atualmente pelas investigações CloudWatch.

- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list

Atualizações na política AmazonAIOpsAssistantPolicy

Alteração Descrição Data
Adicionar uma política para investigações do CloudWatch Versão inicial do AmazonAIOpsAssistantPolicy 9 de agosto de 2025