協助改善此頁面
想要為此使用者指南做出貢獻嗎? 捲動至此頁面底部,然後選取 [編輯此頁面於] GitHub。您的貢獻將有助於使我們的用戶指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Amazon Elastic Kubernetes Service 的受管政策
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
AWS 受管政策 AmazonEKS_CNI_Policy
您可以將 AmazonEKS_CNI_Policy 連接到 IAM 實體。在建立 Amazon EC2 節點群組之前,必須將此政策連接到節點 IAM 角色,或連接到由 Amazon VPC CNI plugin for Kubernetes 專門使用的 IAM 角色。這樣一來,可以代表您執行動作。我們建議您將政策連接至僅供外掛程式使用的角色。如需更多詳細資訊,請參閱 與 Amazon VPC CNI plugin for Kubernetes Amazon EKS 加載項工作 及 設定為Amazon VPC CNI plugin for Kubernetes使用服務帳戶的 IAM 角色 (IRSA)。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2:*NetworkInterface和ec2:*PrivateIpAddresses— 允許 Amazon VPC CNI 外掛程式執行動作,例如佈建彈性網路界面和 IP 地址,以Pods便為在 Amazon EKS 中執行的應用程式提供聯網。 -
ec2讀取動作 — 允許 Amazon VPC CNI 外掛程式執行諸如描述執行個體和子網路之類的動作,以查看 Amazon VPC 子網路中的可用 IP 地址數量。VPC CNI 可以使用每個子網路中的可用 IP 位址來挑選具有最多可用 IP 位址的子網路,以便在建立 elastic network interface 時使用。
若要檢視 JSON 政策文件的最新版本,請參閱《受管策略參考指南》中的《政策》。 AWS
AWS 管理策略:AmazonEKS ClusterPolicy
您可以將 AmazonEKSClusterPolicy 連接到 IAM 實體。在建立叢集之前,您必須擁有已附加此政策的叢集 IAM 角色。 KubernetesAmazon EKS 管理的叢集會代表您撥打其他 AWS 服務的電話。他們會執行此作業,以管理您搭配本服務使用的資源。
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
autoscaling:讀取和更新 Auto Scaling 群組的組態。Amazon EKS 不會使用這些許可,但會保留在政策中以確保回溯相容性。 -
ec2:使用與 Amazon EC2 節點相關聯的磁碟區和網路資源。這是必要項目,以便 Kubernetes 控制平面可以將執行個體加入叢集,並動態佈建和管理 Kubernetes 持久性磁碟區請求的 Amazon EBS 磁碟區。 -
elasticloadbalancing:使用 Elastic Load Balancer,並將節點作為目標新增至 Elastic Load Balancers。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
iam– 建立服務連結角色。這是必要項目,以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。 -
kms– 從 AWS KMS中讀取金鑰。這是 Kubernetes 控制平面支援在etcd中存放的 Kubernetes 秘密之秘密加密的必要條件。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南ClusterPolicy中的 AmazonEks。
AWS 管理策略:AmazonEKS FargatePodExecutionRolePolicy
您可以將 AmazonEKSFargatePodExecutionRolePolicy 連接到 IAM 實體。在建立 Fargate 設定檔之前,您必須先建立 Fargate Pod 執行角色並將此政策連接至該角色。如需詳細資訊,請參閱 步驟 2:建立 Fargate Pod 執行角色 及 定義啟動 AWS Fargate 時的Pods用途。
此政策授予角色許可,這些許可提供對Pods在 Fargate 上執行 Amazon EKS 所需的其他 AWS 服務資源的存取權。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ecr:允許在 Fargate 上執行的 Pod 提取存放在 Amazon ECR 中的容器映像。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南FargatePodExecutionRolePolicy中的 AmazonEks。
AWS 管理策略:AmazonEKS ForFargateServiceRolePolicy
您不得將 AmazonEKSForFargateServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 AWSServiceRoleforAmazonEKSForFargate。
此政策授予 Amazon EKS 執行 Fargate 任務的必要許可。只有在您擁有 Fargate 節點時才會使用此政策。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
ec2:建立和刪除彈性網路介面,並描述彈性網路介面和資源。這是必要的,因此 Amazon EKS Fargate 服務可以設定 Fargate Pod 所需的 VPC 聯網。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南ForFargateServiceRolePolicy中的 AmazonEks。
AWS 管理策略:AmazonEKS ServicePolicy
您可以將 AmazonEKSServicePolicy 連接到 IAM 實體。在 2020 年 4 月 16 日之前建立的叢集,需要您建立 IAM 角色並將此政策連接到該角色。在 2020 年 4 月 16 日或之後建立的叢集不需要您建立角色,也不需要您指派此政策。當您使用具有iam:CreateServiceLinkedRole權限的 IAM 主體建立叢集時,會自動為您建立 AWS ServiceRoleforAmazonEKS 服務連結角色。服務連結角色具有可連接至其中的 AWS 管理策略:AmazonEKS ServiceRolePolicy。
此政策允許 Amazon EKS 建立和管理操作 Amazon EKS 叢集所需的資源。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
eks– 在您開始更新之後,更新叢集的 Kubernetes 版本。Amazon EKS 不會使用這些許可,但會保留在政策中以確保回溯相容性。 -
ec2:使用彈性網路介面及其他網路資源和標籤。Amazon EKS 要求這樣做,以設定可促進節點與 Kubernetes 控制平面之間的通訊的網路。 -
route53:將 VPC 與託管區域建立關聯。Amazon EKS 必須執行這項操作,才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。 -
logs:日誌事件。這是必要的,以便 Amazon EKS 可以將Kubernetes控制平面日誌運送到 CloudWatch。 -
iam– 建立服務連結角色。這是必需的,以便 Amazon EKScan 代表您建立 AWSServiceRoleForAmazonEKS 服務連結角色。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南ServicePolicy中的 AmazonEks。
AWS 管理策略:AmazonEKS ServiceRolePolicy
您不得將 AmazonEKSServiceRolePolicy 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 Amazon EKS 的服務連結角色許可。當您使用具有iam:CreateServiceLinkedRole權限的 IAM 主體建立叢集時,會自動為您建立 AWS ServiceRoleforAmazonEKS 服務連結角色,並將此政策附加至該叢集。
此原則允許服務連結角色代表您呼叫 AWS 服務。
許可詳細資訊
此政策包含下列允許 Amazon EKS 完成下列任務的許可。
-
ec2– 建立並描述彈性網路介面和 Amazon EC2 執行個體、叢集安全群組以及建立叢集所需的 VPC。 -
iam:列出連接至 IAM 角色的所有受管政策。這是必要項目,以便 Amazon EKS 可以列出和驗證建立叢集所需的所有受管政策和許可。 -
將 VPC 與託管區域建立關聯 – Amazon EKS 必須執行這項操作,才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。
-
日誌事件 — 這是必要的,這樣 Amazon EKS 才能將Kubernetes控制平面日誌運送到 CloudWatch。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南ServiceRolePolicy中的 AmazonEks。
AWS 管理策略:亞馬遜 VPC ResourceController
您可將 AmazonEKSVPCResourceController 政策連接到 IAM 身分。如果您使用的是 Pods 的安全群組,您必須將此政策連接至 Amazon EKS 叢集 IAM 角色,以代表您執行動作。
此政策會授予叢集角色許可,以管理節點的彈性網路介面和 IP 地址。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2– 管理彈性網路介面和 IP 地址,以支援 Pod 安全群組和 Windows 節點。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管策略參考指南》ResourceController中的《AmazonKsVPC》。
AWS 管理策略:AmazonEKS WorkerNodePolicy
您可以將 AmazonEKSWorkerNodePolicy 連接到 IAM 實體。您必須將此政策連接至您建立 Amazon EC2 節點時指定的 IAM 角色,從而可讓 Amazon EKS 代表您執行動作。如果您使用 eksctl 建立節點群組,則其會建立節點 IAM 角色並自動將此政策連接至角色。
此政策授予 Amazon EKS Amazon EC2 節點許可,以連接到 Amazon EKS 叢集。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2:讀取執行個體磁碟區和網路資訊。如此一來,Kubernetes 節點才能描述節點加入 Amazon EKS 叢集所需的 Amazon EC2 資源相關資訊,這是必要的。 -
eks:選擇性地將叢集描述為節點引導的一部分。 -
eks-auth:AssumeRoleForPodIdentity– 允許擷取節點上 EKS 工作負載的憑證。必須要有這項,EKS Pod 身分識別才能正常運作。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南WorkerNodePolicy中的 AmazonEks。
AWS 受管理策略: AWSServiceRoleForAmazonEKSNodegroup
您不得將 AWS ServiceRoleForAmazonEKSNodegroup 連接到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊,請參閱 Amazon EKS 的服務連結角色許可。
此政策可授予 AWS ServiceRoleForAmazonEKSNodegroup 角色許可,允許它在您的帳戶中建立和管理 Amazon EC2 節點群組。
許可詳細資訊
此政策包含下列許可,這些許可能讓 Amazon EKS 完成下列任務:
-
ec2— 使用安全群組、標籤、容量保留和啟動範本。Amazon EKS 受管節點群組必須執行此動作,才能啟用遠端存取組態,以及說明可在受管節點群組中使用的容量保留。此外,Amazon EKS 受管節點群組代表您建立啟動範本。這是為了設定支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。 -
iam:建立服務連結角色並傳遞角色。Amazon EKS 受管節點群組必須執行這項操作,才能管理建立受管節點群組時所傳遞之角色的執行個體描述檔。此執行個體描述檔適用於作為受管節點群組一部分的 Amazon EC2 執行個體。Amazon EKS 需要為其他服務 (例如 Amazon EC2 Auto Scaling 群組) 建立服務連結角色。這些許可會用於建立受管節點群組。 -
autoscaling:使用安全的 Auto Scaling 群組。Amazon EKS 受管節點群組必須執行這項操作,才能管理支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。它也可用來支援功能,例如在節點群組更新期間終止或回收節點時移出 Pods。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 受管策略參考指南》AWSServiceRoleForAmazonEKSNodegroup中的。
AWS 管理政策:亞馬遜 DriverPolicy
AmazonEBSCSIDriverPolicy 政策允許 Amazon EBS 容器儲存介面 (CSI) 驅動程式代表您建立、修改、連接、分離和刪除磁碟區。其還授予 EBS CSI 驅動程式建立和刪除快照以及列出您的執行個體、磁碟區和快照的許可。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 管理策略參考指南》DriverServiceRolePolicy中的 AmazonBSCSI。
AWS 管理策略:亞馬遜 DriverPolicy
AmazonEFSCSIDriverPolicy 政策可讓 Amazon EFS 容器儲存介面 (CSI) 代表您建立和刪除存取點。它還授予 Amazon EFS CSI 驅動程式許可,列出您的存取點檔案系統、掛載目標,以及 Amazon EC2 可用區域。
若要檢視 JSON 政策文件的最新版本,請參閱《 AWS 管理策略參考指南》DriverServiceRolePolicy中的《AmazonEFSSI》。
AWS 管理策略:AmazonEKS LocalOutpostClusterPolicy
您可將此政策連接至 IAM 實體。建立本機叢集之前,您必須將此原則附加至叢集角色。 Kubernetes由 Amazon EKS 管理的叢集會代表您撥打其他 AWS 服務的電話。他們會執行此作業,以管理您搭配本服務使用的資源。
AmazonEKSLocalOutpostClusterPolicy 包含以下許可:
-
ec2:Amazon EC2 執行個體作為控制平面執行個體成功加入叢集所需的許可。 -
ssm:允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon EKS 會使用該連線進行通訊並管理帳戶中的本機叢集。 -
logs— 允許執行個體將日誌推送到 Amazon CloudWatch。 -
secretsmanager— 允許執行個體從中安全地取得和刪除控制平面執行個體的啟動程序資料 AWS Secrets Manager。 -
ecr:允許在控制平面執行個體上執行的 Pods 和容器提取存放在 Amazon Elastic Container Registry 中的容器映像。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南LocalOutpostClusterPolicy中的 AmazonEks。
AWS 管理策略:AmazonEKS LocalOutpostServiceRolePolicy
您無法將此政策連接至 IAM 實體。如果您使用具有 iam:CreateServiceLinkedRole 許可的 IAM 主體建立叢集,Amazon EKS 會為您自動建立 AWSServiceRoleforAmazonEKSLocalOutpost 服務連結角色,並將此政策與其連接。此原則允許服務連結角色代表您為本機叢集呼叫 AWS 服務。
AmazonEKSLocalOutpostServiceRolePolicy 包含以下許可:
-
ec2:允許 Amazon EKS 使用安全功能、網路和其他資源,成功啟動並管理帳戶中的控制平面執行個體。 -
ssm:允許 Amazon EC2 Systems Manager 連線至控制平面執行個體,Amazon EKS 會使用該連線進行通訊並管理帳戶中的本機叢集。 -
iam:允許 Amazon EKS 管理與控制平面執行個體相關聯的執行個體設定檔。 -
secretsmanager— 允許 Amazon EKS 將控制平面執行個體的啟動程序資料放入其中,以 AWS Secrets Manager 便在執行個體啟動期間安全地參考。 -
outposts:允許 Amazon EKS 從您的帳戶取得 Outpost 資訊,以在 Outpost 中成功啟動本機叢集。
若要檢視 JSON 政策文件的最新版本,請參閱 AWS 受管政策參考指南LocalOutpostServiceRolePolicy中的 AmazonEks。
Amazon EKS 更新 AWS 受管政策
檢視 Amazon EKS AWS 受管政策更新的詳細資訊,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動提醒,請訂閱 Amazon EKS 文件歷程記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup. |
新增允 |
2024年6月27日 |
|
Amazon EKS 添加了新的 VPC CNI 可以使用每個子網路中的可用 IP 位址來挑選具有最多可用 IP 位址的子網路,以便在建立 elastic network interface 時使用。 |
2024年3月4日 | |
|
AmazonEKS WorkerNodePolicy-更新到現有策略 |
Amazon EKS 新增了新的許可來允許 EKS Pod 身分識別。 Amazon EKS Pod 身分識別代理程式使用節點角色。 |
2023 年 11 月 26 日 |
|
介紹了亞馬遜食品安DriverPolicy全指數。 |
AWS 介紹了 |
2023 年 7 月 26 日 |
|
添加了權限到 AmazonEKS。ClusterPolicy |
在建立負載平衡器時,新增允許 Amazon EKS 在子網路自動探索期間取得 AZ 詳細資訊的 |
2023 年 2 月 7 日 |
|
已移除在 |
2022 年 11 月 17 日 | |
已新增 |
2022 年 10 月 24 日 | |
|
在 Amazon 更新亞馬遜彈性容器註冊表許可。LocalOutpostClusterPolicy |
已將動作 |
2022 年 10 月 20 日 |
|
已新增 |
2022 年 8 月 31 日 | |
|
AWS 介紹了 |
2022 年 8 月 24 日 | |
|
AWS 介紹了 |
2022 年 8 月 23 日 | |
|
AWS 介紹了 |
2022 年 4 月 4 日 | |
|
添加了權限到 AmazonEKS。WorkerNodePolicy |
已新增 |
2022 年 3 月 21 日 |
|
已將權限新增至 AWSServiceRoleForAmazonEKSNodegroup. |
已新增 |
2021 年 12 月 13 日 |
|
添加了權限到 AmazonEKS。ClusterPolicy |
已新增 |
2021 年 6 月 17 日 |
|
Amazon EKS 已開始追蹤變更。 |
Amazon EKS 開始追蹤其 AWS 受管政策的變更。 |
2021 年 6 月 17 日 |
