協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將存取政策與存取項目關聯和取消關聯
您可以向類型為 STANDARD
的存取項目指派一個或多個存取政策。Amazon EKS 會自動向其他類型的存取項目授予在叢集中正常運作所需的許可。Amazon EKS 存取政策包含 Kubernetes 許可,而不是 IAM 許可。在將存取政策與存取項目關聯之前,請確認您熟悉每個存取政策中包含的 Kubernetes 許可。如需詳細資訊,請參閱 存取政策許可。如果沒有一個存取政策符合您的要求,則不要將存取政策與存取項目關聯。而是為存取項目指定一個或多個群組名稱,並建立和管理 Kubernetes 角色型存取控制物件。如需詳細資訊,請參閱 建立存取項目。
必要條件
-
現有的存取項目。若要建立服務角色,請參閱建立存取項目。
-
具有下列權限的 AWS Identity and Access Management 角色或使用者:
ListAccessEntries
DescribeAccessEntry
UpdateAccessEntry
、ListAccessPolicies
、AssociateAccessPolicy
、、和DisassociateAccessPolicy
。如需詳細資訊,請參閱《服務授權參考》中的 Amazon Elastic Kubernetes Service 定義的動作一節。
在將存取政策與存取項目關聯之前,請考量以下要求:
-
每個存取項目可以關聯多個存取政策,但只能將每個政策與一個存取項目關聯一次。如果您將一個存取項目與多個存取政策關聯,則該存取項目的 IAM 主體擁有所有關聯的存取政策中包含的所有許可。
-
您可以將存取政策的適用範圍限定為叢集上的所有資源,或透過指定一個或多個 Kubernetes 命名空間的名稱來限制其適用範圍。您可以將萬用字元用於命名空間名稱。例如,如果要將存取政策的適用範圍限定為以
dev-
開頭的所有命名空間,則可以指定dev-*
作為命名空間名稱。確認叢集上存在相應命名空間,並且拼字與叢集上的實際命名空間名稱相符。Amazon EKS 不會確認叢集上命名空間的拼字或命名空間是否存在。 -
將存取政策關聯到存取項目後,您可以變更存取政策的存取範圍。如果您已將存取政策的適用範圍限定為 Kubernetes 命名空間,則可以根據需要新增和移除關聯的命名空間。
-
如果您將存取政策關聯到也指定了群組名稱的存取項目,則相應 IAM 主體擁有所有關聯存取政策中的所有許可。它還擁有在指定群組名稱的任何 Kubernetes
Role
和RoleBinding
物件中指定的任何 KubernetesRole
或ClusterRole
物件中的所有許可。 -
如果您執行
kubectl auth can-i --list
命令,您不會看到與您在執行該命令時所使用的 IAM 主體的存取項目關聯的存取政策指派的任何 Kubernetes 許可。只有當您已在繫結至為存取項目指定的群組名稱或使用者名稱的 KubernetesRole
或ClusterRole
物件中授予 Kubernetes 許可時,此命令才會顯示相應許可。 -
如果您在與叢集上的 Kubernetes 物件互動時模擬 Kubernetes 使用者或群組,例如將
kubectl
命令與--as
或username
--as-group
結合使用,則將強制使用 Kubernetes RBAC 授權。因此,相應 IAM 主體沒有與相應存取項目關聯的任何存取政策指派的許可。相應 IAM 主體模擬的使用者或群組擁有的 Kubernetes 許可,僅限於您在繫結到該群組名稱或使用者名稱的 Kubernetesgroup-name
Role
或ClusterRole
物件中授予的 Kubernetes 許可。為了讓相應 IAM 主體擁有關聯的存取政策中的許可,請勿模擬 Kubernetes 使用者或群組。相應 IAM 主體還將擁有您在繫結至為存取項目指定的群組名稱或使用者名稱的 KubernetesRole
或ClusterRole
物件中授予的任何許可。如需詳細資訊,請參閱 Kubernetes 文件中的 User impersonation一節。
您可以使用或將存取原則與存取項目 AWS Management Console 相關聯 AWS CLI。
存取政策許可
存取政策包含 rules
,其中包含 Kubernetes verbs
(許可) 和 resources
。存取政策不包含 IAM 許可或資源。與 Kubernetes Role
和 ClusterRole
物件類似,存取政策僅包含 allow
rules
。您無法修改存取政策的內容。您無法建立自己的存取政策。如果存取政策中的許可無法滿足您的需求,您可以建立 Kubernetes RBAC 物件並為存取項目指定群組名稱。如需詳細資訊,請參閱 建立存取項目。存取政策中包含的許可類似於 Kubernetes 面向使用者之叢集角色中的許可。如需詳細資訊,請參閱 Kubernetes 文件中的 User-facing roles
選擇任意存取政策以查看其內容。每個存取政策中每個表的每一行都是一項單獨規則。
此存取政策包含向相應 IAM 主體授予對資源的大部分許可的許可。當將之與某個存取項目關聯時,其存取範圍通常是一個或多個 Kubernetes 命名空間。如果您希望相應 IAM 主體對叢集上的所有資源具有管理員存取權,請將 AmazonEKS ClusterAdminPolicy 存取政策與相應存取項目關聯。
ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy
Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
---|---|---|
apps |
daemonsets , deployments ,
deployments/rollback ,
deployments/scale , replicasets ,
replicasets/scale , statefulsets ,
statefulsets/scale |
create , delete ,
deletecollection , patch ,
update |
apps |
controllerrevisions , daemonsets ,
daemonsets/status , deployments ,
deployments/scale ,
deployments/status , replicasets ,
replicasets/scale ,
replicasets/status , statefulsets ,
statefulsets/scale ,
statefulsets/status |
get , list ,
watch |
authorization.k8s.io |
localsubjectaccessreviews |
create |
autoscaling |
horizontalpodautoscalers |
create , delete ,
deletecollection , patch ,
update |
autoscaling |
horizontalpodautoscalers ,
horizontalpodautoscalers/status |
get , list ,
watch |
batch |
cronjobs , jobs |
create , delete ,
deletecollection , patch ,
update |
batch |
cronjobs , cronjobs/status ,
jobs , jobs/status |
get , list ,
watch |
discovery.k8s.io |
endpointslices |
get , list ,
watch |
extensions |
daemonsets , deployments ,
deployments/rollback ,
deployments/scale , ingresses ,
networkpolicies , replicasets ,
replicasets/scale ,
replicationcontrollers/scale |
create , delete ,
deletecollection , patch ,
update |
extensions |
daemonsets , daemonsets/status ,
deployments , deployments/scale ,
deployments/status , ingresses ,
ingresses/status , networkpolicies ,
replicasets , replicasets/scale ,
replicasets/status ,
replicationcontrollers/scale |
get , list ,
watch |
networking.k8s.io |
ingresses , ingresses/status ,
networkpolicies |
get , list ,
watch |
networking.k8s.io |
ingresses , networkpolicies |
create , delete ,
deletecollection , patch ,
update |
policy |
poddisruptionbudgets |
create , delete ,
deletecollection , patch ,
update |
policy |
poddisruptionbudgets ,
poddisruptionbudgets/status |
get , list ,
watch |
rbac.authorization.k8s.io |
rolebindings , roles |
create , delete ,
deletecollection , get ,
list , patch , update ,
watch |
configmaps , endpoints ,
persistentvolumeclaims ,
persistentvolumeclaims/status ,
pods , replicationcontrollers ,
replicationcontrollers/scale ,
serviceaccounts , services ,
services/status |
get ,list ,
watch |
|
pods/attach , pods/exec ,
pods/portforward , pods/proxy ,
secrets , services/proxy |
get , list ,
watch |
|
configmaps , events ,
persistentvolumeclaims ,
replicationcontrollers ,
replicationcontrollers/scale ,
secrets , serviceaccounts ,
services , services/proxy |
create , delete ,
deletecollection , patch ,
update |
|
pods , pods/attach ,
pods/exec , pods/portforward ,
pods/proxy |
create , delete ,
deletecollection , patch ,
update |
|
serviceaccounts |
impersonate |
|
bindings , events ,
limitranges , namespaces/status ,
pods/log , pods/status ,
replicationcontrollers/status ,
resourcequotas ,
resourcequotas/status |
get , list ,
watch |
|
namespaces |
get ,list ,
watch |
此存取政策包含授予相應 IAM 主體對叢集的管理員存取權的許可。當將之與某個存取項目關聯時,其存取範圍通常是叢集,而不是某個 Kubernetes 命名空間。如果您希望限制相應 IAM 主體的管理範圍,請考慮將 AmazonEKS AdminPolicy 存取政策與相應存取項目關聯。
ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy
Kubernetes API 群組 | Kubernetes nonResourceURLs | Kubernetes 資源 | Kubernetes 動詞 (許可) |
---|---|---|---|
* |
* |
* |
|
* |
* |
此存取政策包括授與 IAM 主體存取權限以列出/檢視叢集中所有資源的許可。請注意,這包括Kubernetes秘密。
ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy
Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
---|---|---|
* |
* |
|
此存取政策包含允許相應 IAM 主體編輯大多數 Kubernetes 資源的許可。
ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy
Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
---|---|---|
apps |
daemonsets , deployments ,
deployments/rollback ,
deployments/scale , replicasets ,
replicasets/scale , statefulsets ,
statefulsets/scale |
create , delete ,
deletecollection , patch ,
update |
apps |
controllerrevisions , daemonsets ,
daemonsets/status , deployments ,
deployments/scale ,
deployments/status , replicasets ,
replicasets/scale ,
replicasets/status , statefulsets ,
statefulsets/scale ,
statefulsets/status |
get , list ,
watch |
autoscaling |
horizontalpodautoscalers ,
horizontalpodautoscalers/status |
get , list ,
watch |
autoscaling |
horizontalpodautoscalers |
create , delete ,
deletecollection , patch ,
update |
batch |
cronjobs , jobs |
create , delete ,
deletecollection , patch ,
update |
batch |
cronjobs , cronjobs/status ,
jobs , jobs/status |
get , list ,
watch |
discovery.k8s.io |
endpointslices |
get , list ,
watch |
extensions |
daemonsets , deployments ,
deployments/rollback ,
deployments/scale , ingresses ,
networkpolicies , replicasets ,
replicasets/scale ,
replicationcontrollers/scale |
create , delete ,
deletecollection , patch ,
update |
extensions |
daemonsets , daemonsets/status ,
deployments , deployments/scale ,
deployments/status , ingresses ,
ingresses/status , networkpolicies ,
replicasets , replicasets/scale ,
replicasets/status ,
replicationcontrollers/scale |
get , list ,
watch |
networking.k8s.io |
ingresses , networkpolicies |
create , delete ,
deletecollection , patch ,
update |
networking.k8s.io |
ingresses , ingresses/status ,
networkpolicies |
get , list ,
watch |
policy |
poddisruptionbudgets |
create , delete ,
deletecollection , patch ,
update |
policy |
poddisruptionbudgets ,
poddisruptionbudgets/status |
get , list ,
watch |
namespaces |
get , list ,
watch |
|
pods/attach , pods/exec ,
pods/portforward , pods/proxy ,
secrets , services/proxy |
get , list ,
watch |
|
serviceaccounts |
impersonate |
|
pods , pods/attach ,
pods/exec , pods/portforward ,
pods/proxy |
create , delete ,
deletecollection , patch ,
update |
|
configmaps , events ,
persistentvolumeclaims ,
replicationcontrollers ,
replicationcontrollers/scale ,
secrets , serviceaccounts ,
services , services/proxy |
create , delete ,
deletecollection , patch ,
update |
|
configmaps , endpoints ,
persistentvolumeclaims ,
persistentvolumeclaims/status ,
pods , replicationcontrollers ,
replicationcontrollers/scale ,
serviceaccounts , services ,
services/status |
get , list ,
watch |
|
bindings , events ,
limitranges , namespaces/status ,
pods/log , pods/status ,
replicationcontrollers/status ,
resourcequotas ,
resourcequotas/status |
get , list ,
watch |
此存取政策包含允許相應 IAM 主體檢視大多數 Kubernetes 資源的許可。
ARN – arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy
Kubernetes API 群組 | Kubernetes 資源 | Kubernetes 動詞 (許可) |
---|---|---|
apps |
controllerrevisions , daemonsets ,
daemonsets/status , deployments ,
deployments/scale ,
deployments/status , replicasets ,
replicasets/scale ,
replicasets/status , statefulsets ,
statefulsets/scale ,
statefulsets/status |
get , list ,
watch |
autoscaling |
horizontalpodautoscalers ,
horizontalpodautoscalers/status |
get , list ,
watch |
batch |
cronjobs , cronjobs/status ,
jobs , jobs/status |
get , list ,
watch |
discovery.k8s.io |
endpointslices |
get , list ,
watch |
extensions |
daemonsets ,daemonsets/status ,deployments ,deployments/scale ,deployments/status ,ingresses ,ingresses/status ,networkpolicies ,replicasets , replicasets/scale ,replicasets/status , replicationcontrollers/scale |
get , list ,
watch |
networking.k8s.io |
ingresses , ingresses/status ,
networkpolicies |
get , list ,
watch |
policy |
poddisruptionbudgets ,
poddisruptionbudgets/status |
get , list ,
watch |
configmaps , endpoints ,
persistentvolumeclaims ,
persistentvolumeclaims/status ,
pods , replicationcontrollers ,
replicationcontrollers/scale ,
serviceaccounts , services ,
services/status |
get , list ,
watch |
|
bindings ,events ,limitranges ,namespaces/status ,pods/log , rpods/status ,eplicationcontrollers/status , rresourcequotas , r esourcequotas/status |
get , list ,
watch |
|
namespaces |
get , list ,
watch |
存取政策更新
檢視有關存取政策更新 (自引進以來) 的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Amazon EKS 文件歷程記錄頁面上的 RSS 摘要。
變更 | 描述 | 日期 |
---|---|---|
加 AmazonEKSAdminViewPolicy |
新增擴充檢視存取權限的新原則,包括 Secret 等資源。 | 2024年4月23 日 |
引進存取政策。 |
Amazon EKS 引進了存取政策。 |
2023 年 5 月 29 日 |