Integração com o Amazon EKS
As investigações do CloudWatch podem usar as informações diretamente do cluster do Amazon EKS. Para começar, primeiro conceda acesso ao perfil de Investigation Group do IAM. Recomendamos usar a política de acesso AmazonAIOpsAssistantPolicy fornecida que concede às investigações do CloudWatch acesso aos recursos no cluster. Ao usar essa política, você receberá automaticamente atualizações de políticas à medida que novos recursos forem adicionados.
nota
AmazonAIOpsAssistantPolicy é uma política de acesso. A política de identidade que autoriza o acesso associado às investigações do CloudWatch é AIOpsAssistantPolicy.
Use a opção Configuração avançada para reduzir o escopo do acesso fornecido pela política de acesso a um conjunto de namespaces ou a todo o cluster. Como alternativa, você pode reduzir ainda mais o acesso associando a entrada de acesso a uma permissão RBAC do grupo do Kubernetes. Para obter mais informações, consulte Criar entradas de acesso.
Configuração da entrada de acesso do Amazon EKS (console)
Para associar a política AmazonAIOpsAssistantPolicy ao perfil de investigação usando o Console de Gerenciamento da AWS, siga estas etapas:
-
Abra o console do CloudWatch e navegue até a página Configuração de investigações.
-
Na seção de acesso do Amazon EKS, selecione a opção de associar a política
AmazonAIOpsAssistantPolicyao seu perfil de investigação. -
Analise os detalhes da política e confirme a associação.
Para personalizar ainda mais o escopo de acesso:
-
Clique em Configuração avançada na seção de acesso do Amazon EKS.
-
Você será redirecionado para o console do Amazon EKS.
-
No console do Amazon EKS, você pode:
-
Definir o escopo da política para namespaces específicos
-
Configurar o recurso de grupo para um controle de acesso mais granular
-
Configuração de entradas de acesso do Amazon EKS (CDK)
Para configurar as entradas de acesso do Amazon EKS usando o AWS CDK, use o seguinte exemplo de código:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
A política de acesso do Amazon EKS, AmazonAIOpsAssistantPolicy, fornece acesso abrangente somente leitura aos recursos no cluster. As informações de cada recurso podem não ser utilizadas atualmente pelas investigações CloudWatch.
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
Atualizações na política AmazonAIOpsAssistantPolicy
| Alteração | Descrição | Data |
|---|---|---|
| Adicionar uma política para investigações do CloudWatch | Versão inicial do AmazonAIOpsAssistantPolicy |
9 de agosto de 2025 |
