检查访问策略权限 - Amazon EKS
AmazonEKSAdminPolicyAmazonEKSClusterAdminPolicyAmazonEKSAdminViewPolicyAmazonEKSEditPolicyAmazonEKSViewPolicyAmazonEKSAutoNodePolicyAmazonEKSBlockStoragePolicyAmazonEKSLoadBalancingPolicyAmazonEKSNetworkingPolicyAmazonEKSComputePolicyAmazonEKSBlockStorageClusterPolicyAmazonEKSComputeClusterPolicyAmazonEKSLoadBalancingClusterPolicyAmazonEKSNetworkingClusterPolicyAmazonEKSHybridPolicyAmazonEKSClusterInsightsPolicy访问策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

检查访问策略权限

访问策略包括包含 Kubernetes verbs(权限)和 resourcesrules。访问策略不包括 IAM 权限或资源。访问策略与 Kubernetes RoleClusterRole 对象类似,仅包括 allow rules。您无法修改访问策略的内容。您无法创建自己的访问策略。如果访问策略中的权限不符合需求,请创建 Kubernetes RBAC 对象并为访问条目指定组名称。有关更多信息,请参阅 创建访问条目。访问策略中包含的权限与 Kubernetes 面向用户的集群角色中的权限类似。有关更多信息,请参阅 Kubernetes 文档中的面向用户的角色

选择任意访问策略以查看其内容。每个访问策略中每个表的每一行都是一个单独的规则。

AmazonEKSAdminPolicy

此访问策略包括授予 IAM 主体对资源的大部分权限的权限。当与访问条目关联时,其访问范围通常是一个或多个 Kubernetes 命名空间。如果您希望 IAM 主体拥有集群上所有资源的管理员访问权限,请改为将 AmazonEKSClusterAdminPolicy 访问策略关联到您的访问条目。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get,list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get,list, watch

AmazonEKSClusterAdminPolicy

此访问策略包括授予 IAM 主体对集群的管理员访问权限的权限。当与访问条目关联时,其访问范围通常是集群,而不是 Kubernetes 命名空间。如果您希望 IAM 主体的管理范围更有限,请考虑将 AmazonEKSAdminPolicy 访问策略与您的访问条目相关联。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes API 组 Kubernetes 非资源 URL Kubernetes 资源 Kubernetes 动词(权限)

*

*

*

*

*

AmazonEKSAdminViewPolicy

此访问策略包括授予 IAM 主体列出/查看集群中所有资源的权限。请注意,此项包括 Kubernetes 密钥

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

*

*

get, list, watch

AmazonEKSEditPolicy

此访问策略包括允许 IAM 主体编辑大多数 Kubernetes 资源的权限。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

AmazonEKSViewPolicy

此访问策略包括允许 IAM 主体查看大多数 Kubernetes 资源的权限。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindingseventslimitrangesnamespaces/statuspods/logpods/statusreplicationcontrollers/statusresourcequotas、resourcequotas/status

get, list, watch

namespaces

get, list, watch

AmazonEKSAutoNodePolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

此策略包含允许 Amazon EKS 组件完成以下任务的下列权限:

  • kube-proxy – 监控网络端点和服务,并管理相关事件。这将启用集群范围的网络代理功能。

  • ipamd – 管理 Amazon VPC 联网资源和容器网络接口(CNI)。这将允许 IP 地址管理进程守护程序处理容器组联网。

  • coredns – 访问端点和服务等服务发现资源。这将在集群内启用 DNS 解析。

  • ebs-csi-driver – 使用 Amazon EBS 卷的存储相关资源。这将允许动态预置和挂载持久性卷。

  • neuron – 监控 Amazon Neuron设备的节点和容器组。这将有助于 Amazon Inferentia 和 Trainium 加速器的管理。

  • node-monitoring-agent – 访问节点诊断和事件。这将启用集群运行状况监控和诊断收集。

每个组件都使用一个专用的服务账户,并且仅限于其特定功能所需的权限。

如果您在节点类中手动指定节点 IAM 角色,则需要创建一个将新的节点 IAM 角色与该访问策略关联的访问条目。

AmazonEKSBlockStoragePolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

此策略包含允许 Amazon EKS 管理用于存储操作的领导副本选择和协调资源的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这将使 EKS 存储组件能够通过领导副本选择机制来协调其在集群中的活动。

此策略的范围限于 EKS 存储组件使用的特定租赁资源,以防止对集群中其他协调资源的访问权限冲突。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持块存储功能的正常运行。

AmazonEKSLoadBalancingPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

此策略包含允许 Amazon EKS 管理用于负载均衡的领导副本选择的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这让 EKS 负载均衡组件能够通过领导副本选择来协调多个副本之间的活动。

此策略的范围特别限于负载均衡租赁资源,以确保适当的协调,同时防止访问集群中的其他租赁资源。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSNetworkingPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

此策略包含允许 Amazon EKS 管理用于联网的领导副本选择的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这让 EKS 网络组件能够通过领导副本选择来协调 IP 地址分配活动。

此策略的范围特别限于联网租赁资源,以确保适当的协调,同时防止访问集群中的其他租赁资源。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSComputePolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSComputePolicy

此策略包含允许 Amazon EKS 管理用于计算操作的领导副本选择资源的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这让 EKS 计算组件能够通过领导副本选择来协调节点扩缩活动。

此策略的范围特别限于计算管理租赁资源,同时允许对集群中所有租赁资源的基本读取访问权限(getwatch)。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSBlockStorageClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

此策略将授予 Amazon EKS 自动模式块存储功能的必要权限,有助于对 Amazon EKS 集群中块存储资源的高效管理。此策略包含以下权限:

CSI 驱动程序管理:

  • 创建、读取、更新和删除 CSI 驱动程序,尤其是针对块存储。

卷管理:

  • 列出、观察、创建、更新、修补和删除持久性卷。

  • 列出、观察和更新持久性卷声明。

  • 修补持久性卷声明状态。

节点和容器组交互:

  • 读取节点和容器组信息。

  • 管理与存储操作相关的事件。

存储类和属性:

  • 读取存储类和 CSI 节点。

  • 读取卷属性类。

卷挂载:

  • 列出、观察和修改卷挂载及其状态。

快照操作:

  • 管理卷快照、快照内容和快照类别。

  • 处理卷组快照和相关资源的操作。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的块存储管理。此策略将各种操作的权限进行组合,包括块存储卷的预置、挂载、大小调整和快照创建等。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持块存储功能的正常运行。

AmazonEKSComputeClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

此策略将授予 Amazon EKS 自动模式计算管理功能的必要权限,有助于在 Amazon EKS 集群中实现高效的计算资源编排和扩缩。此策略包含以下权限:

节点管理:

  • 创建、读取、更新、删除和管理节点池和节点声明的状态。

  • 管理节点类,包括创建、修改和删除。

调度和资源管理:

  • 对容器组、节点、持久性卷、持久性卷声明、复制控制器和命名空间的读取权限。

  • 对存储类、CSI 节点和卷挂载的读取权限。

  • 列出和观察部署、进程守护程序集、副本集和有状态集。

  • 读取容器组中断预算。

事件处理:

  • 创建、读取和管理集群事件。

节点取消预置和容器组弹出:

  • 更新、修补和删除节点。

  • 创建容器组弹出并在必要时删除容器组。

自定义资源定义(CRD)管理:

  • 创建新建 CRD。

  • 管理与节点管理相关的特定 CRD(节点类、节点池、节点声明和节点诊断)。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的计算管理。此策略将各种操作的权限进行组合,包括节点预置、调度、扩缩和资源优化。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持计算管理功能的正常运行。

AmazonEKSLoadBalancingClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

此策略将授予 Amazon EKS 自动模式负载均衡功能的必要权限,有助于对 Amazon EKS 集群中负载均衡资源的高效管理和配置。此策略包含以下权限:

事件和资源管理:

  • 创建和修补事件。

  • 对容器组、节点、端点和命名空间的读取权限。

  • 更新容器组状态。

服务和 Ingress 管理:

  • 全面管理服务及其状态。

  • 全面控制 Ingress 及其状态。

  • 对端点切片和 Ingress 类的读取权限。

目标组绑定:

  • 创建和修改目标组绑定及其状态。

  • 对 Ingress 类参数的读取权限。

自定义资源定义(CRD)管理:

  • 创建并读取所有 CRD。

  • 对 targetgroupbindings.eks.amazonaws.com 和 ingressclassparams.eks.amazonaws.com CRD 的具体管理。

Webhook 配置:

  • 创建和读取变异和验证性 Webhook 配置。

  • 管理 eks-load-balancing-webhook 配置。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的负载均衡管理。此策略将各种操作的权限进行组合,包括服务公开、Ingress 路由以及与 Amazon 负载均衡服务的集成。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持负载均衡功能的正常运行。

AmazonEKSNetworkingClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

此策略将授予 Amazon EKS 自动模式联网功能的必要权限,有助于对 Amazon EKS 集群中联网资源的高效管理和配置。此策略包含以下权限:

节点和容器组管理:

  • 对节点类及其状态的读取权限。

  • 对节点声明及其状态的读取权限。

  • 对容器组的读取权限。

CNI 节点管理:

  • CNINodes 及其状态的权限,包括创建、读取、更新、删除和修补。

自定义资源定义(CRD)管理:

  • 创建并读取所有 CRD。

  • cninodes.eks.amazonaws.com CRD 的具体管理(更新、修补、删除)。

事件管理:

  • 创建和修补事件。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的联网管理。此策略将各种操作的权限进行组合,包括节点联网配置、CNI(容器网络接口)管理和相关的自定义资源处理。

此策略允许联网组件与节点相关资源进行交互,管理特定于 CNI 的节点配置,以及处理对集群中联网操作至关重要的自定义资源。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSHybridPolicy

此访问策略包含授予 EKS 访问集群节点的权限。当与访问条目关联时,其访问范围通常是集群,而不是 Kubernetes 命名空间。此策略由 Amazon EKS 混合节点功能使用。

ARNarn:aws:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Kubernetes API 组 Kubernetes 非资源 URL Kubernetes 资源 Kubernetes 动词(权限)

*

nodes

list

AmazonEKSClusterInsightsPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

此策略授予 Amazon EKS 集群见解功能的只读权限。此策略包含以下权限:

节点访问权限:– 列出并查看集群节点 – 读取节点状态信息

DaemonSet 访问权限:– 读取 kube-proxy 配置的访问权限

此策略由 EKS 集群见解服务自动管理。有关更多信息,请参阅 利用集群见解为 Kubernetes 版本升级做好准备

访问策略更新

查看有关自引入访问策略以来更新的详细信息。要获得有关此页面更改的自动提示,请订阅 文档历史记录 中的 RSS 源。

更改 描述 日期

为 EKS 集群见解添加策略

发布 AmazonEKSClusterInsightsPolicy

2024 年 12 月 2 日

增加了适用于 Amazon EKS 混合节点功能的策略

发布 AmazonEKSHybridPolicy

2024 年 12 月 2 日

增加了适用于 Amazon EKS 自动模式的策略

这些访问策略授予集群 IAM 角色和节点 IAM 角色调用 Kubernetes API 的权限。Amazon 使用这些策略来自动执行存储、计算和联网资源的例行任务。

2024 年 12 月 2 日

添加 AmazonEKSAdminViewPolicy

添加新策略以扩展查看权限,包括 Secrets 等资源。

2024 年 4 月 23 日

引入访问策略。

Amazon EKS 引入访问策略。

2023 年 5 月 29 日