協助改進此頁面
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
若要為本使用者指南貢獻內容,請點選每個頁面右側面板中的在 GitHub 上編輯此頁面連結。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
授予 AWS 服務對 Kubernetes APIs寫入存取權
所需的許可
若要讓 AWS 服務在 Amazon EKS 叢集中的 Kubernetes 資源上執行寫入操作,您必須同時授予 eks:AccessKubernetesApi和 eks:MutateViaKubernetesApi IAM 許可。
例如,Amazon SageMaker HyperPod 使用這些許可從 SageMaker AI Studio 啟用模型部署。如需詳細資訊,請參閱《Amazon SageMaker AI 開發人員指南》中的設定選用的 JavaScript SDK 許可。
重要
建立、更新和刪除等寫入操作需要兩個許可,如果缺少任一許可,寫入操作將會失敗。
CloudTrail 可見性
在 Kubernetes 資源上執行寫入操作時,您會在 CloudTrail 日誌中看到特定操作名稱:
-
createKubernetesObject- 建立新資源時 -
updateKubernetesObject- 修改現有資源時 -
deleteKubernetesObject- 移除資源時
這些 CloudTrail 事件提供對 Kubernetes 資源所做的所有修改的詳細稽核線索。
注意
這些操作名稱會出現在 CloudTrail 日誌中,僅供稽核之用。它們不是 IAM 動作,無法在 IAM 政策陳述式中使用。若要透過 IAM 政策控制對 Kubernetes 資源的寫入存取,請使用 eks:MutateViaKubernetesApi許可,如 所需的許可一節所示。
