与 Amazon EKS 集成
CloudWatch 调查可以直接利用 Amazon EKS 集群中的信息。首先,请先授予对 Investigation Group IAM 角色的访问权限。建议使用公开发布的访问策略 AmazonAIOpsAssistantPolicy,该访问策略会向 CloudWatch 调查授予对集群中资源的访问权限。使用此策略,您可以在有新增功能时自动获得策略更新。
注意
AmazonAIOpsAssistantPolicy 是访问策略。授权与 CloudWatch 调查相关的访问权限的身份策略是 AIOpsAssistantPolicy。
使用高级配置选项,将访问策略提供的访问范围缩小到一组命名空间或整个集群。您也可以将访问条目与 Kubernetes 组 RBAC 权限关联来进一步缩小访问范围。有关更多信息,请参阅创建访问条目。
配置 Amazon EKS 访问条目(控制台)
要使用 AWS 管理控制台将 AmazonAIOpsAssistantPolicy 与调查角色关联,请执行以下步骤:
-
打开 CloudWatch 控制台,然后导航到“调查配置”页面。
-
在“Amazon EKS 访问”部分中,选择将
AmazonAIOpsAssistantPolicy与您的调查角色关联的选项。 -
查看策略详细信息并确认关联。
要进一步自定义访问范围,请执行以下操作:
-
单击“Amazon EKS 访问”部分中的高级配置。
-
随后您会被重定向至 Amazon EKS 控制台。
-
在 Amazon EKS 控制台中,您可以:
-
将策略范围限定为特定命名空间
-
配置组功能以实现更精细的访问控制
-
配置 Amazon EKS 访问条目(CDK)
要使用 AWS CDK 配置 Amazon EKS 访问条目,请使用以下代码示例:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
Amazon EKS 访问策略 AmazonAIOpsAssistantPolicy 提供了对集群中资源的全面只读访问权限。CloudWatch 调查目前可能不会利用每种资源中的信息。
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
AmazonAIOpsAssistantPolicy 更新记录
| 更改 | 描述 | 日期 |
|---|---|---|
| 为 CloudWatch 调查添加策略 | AmazonAIOpsAssistantPolicy 的初始版本 |
2025 年 8 月 9 日 |
