本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與 Amazon EKS 整合
CloudWatch 調查可以直接從 Amazon EKS 叢集利用資訊。若要開始使用,請先授予 IAM Investigation Group
角色的存取權。建議使用 提供的存取政策AmazonAIOpsAssistantPolicy
,授予 CloudWatch 調查對叢集中資源的存取權。透過使用此政策,您將在新增新功能時自動取得政策更新。
注意
AmazonAIOpsAssistantPolicy
是存取政策。授權與 CloudWatch 調查相關聯之存取的身分政策為 AIOpsAssistantPolicy
。
使用進階組態選項,將存取政策提供的存取範圍縮小為一組命名空間或整個叢集。或者,您可以將存取項目與 Kubernetes 群組 RBAC 許可建立關聯,以進一步縮小存取範圍。如需詳細資訊,請參閱建立存取項目。
設定 Amazon EKS 存取項目 (主控台)
若要使用 AWS 管理主控台將 AmazonAIOpsAssistantPolicy
與調查角色建立關聯,請遵循下列步驟:
-
開啟 CloudWatch 主控台並導覽至調查組態頁面。
-
在 Amazon EKS 存取區段中,選取將
AmazonAIOpsAssistantPolicy
與您的調查角色建立關聯的選項。 -
檢閱政策詳細資訊並確認關聯。
若要進一步自訂存取範圍:
-
按一下 Amazon EKS 存取區段中的進階組態。
-
系統會將您重新導向至 Amazon EKS 主控台。
-
在 Amazon EKS 主控台中,您可以:
-
將政策範圍限定在特定命名空間
-
設定群組功能以取得更精細的存取控制
-
設定 Amazon EKS 存取項目 (CDK)
若要使用 AWS CDK 設定 Amazon EKS 存取項目,請使用下列程式碼範例:
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
Amazon EKS 存取政策 AmazonAIOpsAssistantPolicy
提供對叢集中資源的完整唯讀存取。CloudWatch Investigations 目前可能不會使用來自每個資源的資訊。
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
AmazonAIOpsAssistantPolicy 的更新
變更 | 描述 | 日期 |
---|---|---|
新增 CloudWatch 調查的政策 | AmazonAIOpsAssistantPolicy 初始版本 |
2025 年 8 月 9 日 |