本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與 Amazon EKS 整合
CloudWatch 調查可以直接從 Amazon EKS 叢集利用資訊。若要開始使用,請先授予 IAM Investigation Group 角色的存取權。我們建議您使用 提供的存取政策AmazonAIOpsAssistantPolicy,授予 CloudWatch 調查對叢集中資源的存取權。透過使用此政策,您將在新增新功能時自動取得政策更新。
注意
AmazonAIOpsAssistantPolicy 是存取政策。授權與 CloudWatch 調查相關聯之存取權的身分政策為 AIOpsAssistantPolicy。
使用進階組態選項,將存取政策提供的存取範圍縮小為一組命名空間或整個叢集。或者,您可以將存取項目與 Kubernetes 群組 RBAC 許可建立關聯,以進一步縮小存取範圍。如需詳細資訊,請參閱建立存取項目。
設定 Amazon EKS 存取項目 (主控台)
若要使用 AWS 管理主控台將 AmazonAIOpsAssistantPolicy與調查角色建立關聯,請遵循下列步驟:
-
開啟 CloudWatch 主控台並導覽至調查組態頁面。
-
在 Amazon EKS 存取區段中,選取將
AmazonAIOpsAssistantPolicy與您的調查角色建立關聯的選項。 -
檢閱政策詳細資訊並確認關聯。
若要進一步自訂存取範圍:
-
按一下 Amazon EKS 存取區段中的進階組態。
-
系統會將您重新導向至 Amazon EKS 主控台。
-
在 Amazon EKS 主控台中,您可以:
-
將政策範圍限定在特定命名空間
-
設定群組功能以取得更精細的存取控制
-
設定 Amazon EKS 存取項目 (CDK)
若要使用 AWS CDK 設定 Amazon EKS 存取項目,請使用下列程式碼範例:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
Amazon EKS 存取政策 AmazonAIOpsAssistantPolicy提供對叢集中資源的完整唯讀存取。CloudWatch Investigations 目前可能無法使用來自每個資源的資訊。
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
AmazonAIOpsAssistantPolicy 的更新
| 變更 | 描述 | 日期 |
|---|---|---|
| 新增 CloudWatch 調查的政策 | AmazonAIOpsAssistantPolicy 初始版本 |
2025 年 8 月 9 日 |
