# 与 Amazon EKS 集成
<a name="EKS-Integration"></a>

CloudWatch 调查功能调查组可以直接利用 Amazon EKS 集群中的信息。要开始使用，请先授予 `Investigation Group` IAM 角色的访问权限。建议使用默认的 Amazon 托管*访问策略* `AmazonAIOpsAssistantPolicy`，该策略会向 CloudWatch 调查功能调查组授予对集群中资源的访问权限。使用此策略，您可以在需要时自动获得策略更新。

**注意**  
`AmazonAIOpsAssistantPolicy` 是访问策略。授权 CloudWatch 调查功能调查组进行相关访问的 Amazon 托管身份策略为 [https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html)。

使用**高级配置**选项，将访问策略提供的访问范围缩小到一组命名空间或整个集群。您也可以将访问条目与 Kubernetes 组 RBAC 权限关联来进一步缩小访问范围。有关更多信息，请参阅[创建访问条目](https://docs.amazonaws.cn/eks/latest/userguide/creating-access-entries.html)。

## 配置 Amazon EKS 访问条目（控制台）
<a name="EKS-Access-Entries-Console"></a>

要使用 Amazon 管理控制台将 `AmazonAIOpsAssistantPolicy` 与调查角色关联，请执行以下步骤：

1. 打开 CloudWatch 控制台，然后导航到“调查配置”页面。

1. 在“Amazon EKS 访问”部分中，选择将 `AmazonAIOpsAssistantPolicy` 与您的调查角色关联的选项。

1. 查看策略详细信息并确认关联。

要进一步自定义访问范围，请执行以下操作：

1. 单击“Amazon EKS 访问”部分中的**高级配置**。

1. 随后您会被重定向至 Amazon EKS 控制台。

1. 在 Amazon EKS 控制台中，您可以：

   1. 将策略范围限定为特定命名空间

   1. 配置组功能以实现更精细的访问控制

## 配置 Amazon EKS 访问条目（CDK）
<a name="EKS-Access-Entries-CDK"></a>

要使用 Amazon CDK 配置 Amazon EKS 访问条目，请使用以下代码示例：

```
    const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
        cluster: eksCluster,
        principal: investigationsIamRole.roleArn,
        accessPolicies: [
            AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
                accessScopeType: AccessScopeType.CLUSTER
            }),
        ],
    });
```

## AmazonAIOpsAssistantPolicy
<a name="AmazonAIOpsAssistantPolicy"></a>

Amazon EKS 访问策略 `AmazonAIOpsAssistantPolicy` 提供了对集群中资源的全面只读访问权限。CloudWatch 调查功能目前可能不会利用每种资源中的信息。

```
    - apiGroups: [""]
      resources:
        - pods
        - pods/log
        - services
        - nodes
        - namespaces
        - events
        - persistentvolumes
        - persistentvolumeclaims
        - configmaps
      verbs:
        - get
        - list

    - apiGroups: ["apps"]
      resources:
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
      verbs:
        - get
        - list

    - apiGroups: ["batch"]
      resources:
        - jobs
        - cronjobs
      verbs:
        - get
        - list

    - apiGroups: ["events.k8s.io"]
      resources:
        - events
      verbs:
        - get
        - list

    - apiGroups: ["networking.k8s.io"]
      resources:
        - ingresses
        - ingressclasses
      verbs:
        - get
        - list

    - apiGroups: ["storage.k8s.io"]
      resources:
        - storageclasses
      verbs:
        - get
        - list

    - apiGroups: ["metrics.k8s.io"]
      resources:
        - pods
        - nodes
      verbs:
        - get
        - list
```

## AmazonAIOpsAssistantPolicy 更新记录
<a name="AmazonAIOpsAssistantPolicy-Updates"></a>


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| 为 CloudWatch 调查添加策略 | AmazonAIOpsAssistantPolicy 的初始版本 | 2025 年 8 月 9 日 |