检查访问策略权限 - Amazon EKS
列出所有策略AmazonEKSAdminPolicyAmazonEKSClusterAdminPolicyAmazonEKSAdminViewPolicyAmazonEKSEditPolicyAmazonEKSViewPolicyAmazonEKSSecretReaderPolicyAmazonEKSAutoNodePolicyAmazonEKSBlockStoragePolicyAmazonEKSLoadBalancingPolicyAmazonEKSNetworkingPolicyAmazonEKSComputePolicyAmazonEKSBlockStorageClusterPolicyAmazonEKSComputeClusterPolicyAmazonEKSLoadBalancingClusterPolicyAmazonEKSNetworkingClusterPolicyAmazonEKSHybridPolicyAmazonEKSClusterInsightsPolicyAWSBackupFullAccessPolicyForBackupAWSBackupFullAccessPolicyForRestoreAmazonEKSACKPolicyAmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicyAmazonEKSKROPolicy访问策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

检查访问策略权限

访问策略包括包含 Kubernetes verbs(权限)和 resourcesrules。访问策略不包括 IAM 权限或资源。访问策略与 Kubernetes RoleClusterRole 对象类似,仅包括 allow rules。您无法修改访问策略的内容。您无法创建自己的访问策略。如果访问策略中的权限不符合需求,请创建 Kubernetes RBAC 对象并为访问条目指定组名称。有关更多信息,请参阅 创建访问条目。访问策略中包含的权限与 Kubernetes 面向用户的集群角色中的权限类似。有关更多信息,请参阅 Kubernetes 文档中的面向用户的角色

列出所有策略

使用此页面上列出的任何一个访问策略,或者使用 Amazon CLI 检索所有可用访问策略的列表:

aws eks list-access-policies

预期输出应如下所示(为简洁起见已缩写):

{
    "accessPolicies": [
        {
            "name": "AmazonAIOpsAssistantPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
        },
        {
            "name": "AmazonARCRegionSwitchScalingPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
        },
        {
            "name": "AmazonEKSAdminPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
        },
        {
            "name": "AmazonEKSAdminViewPolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
        },
        {
            "name": "AmazonEKSAutoNodePolicy",
            "arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
        }
        // Additional policies omitted
    ]
}

AmazonEKSAdminPolicy

此访问策略包括授予 IAM 主体对资源的大部分权限的权限。当与访问条目关联时,其访问范围通常是一个或多个 Kubernetes 命名空间。如果您希望 IAM 主体拥有集群上所有资源的管理员访问权限,请改为将 AmazonEKSClusterAdminPolicy 访问策略关联到您的访问条目。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

authorization.k8s.io

localsubjectaccessreviews

create

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

rbac.authorization.k8s.io

rolebindings, roles

create, delete, deletecollection, get, list, patch, update, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get,list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

serviceaccounts

impersonate

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

namespaces

get,list, watch

AmazonEKSClusterAdminPolicy

此访问策略包括授予 IAM 主体对集群的管理员访问权限的权限。当与访问条目关联时,其访问范围通常是集群,而不是 Kubernetes 命名空间。如果您希望 IAM 主体的管理范围更有限,请考虑将 AmazonEKSAdminPolicy 访问策略与您的访问条目相关联。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy

Kubernetes API 组 Kubernetes 非资源 URL Kubernetes 资源 Kubernetes 动词(权限)

*

*

*

*

*

AmazonEKSAdminViewPolicy

此访问策略包括授予 IAM 主体列出/查看集群中所有资源的权限。请注意,此项包括 Kubernetes 密钥

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

*

*

get, list, watch

AmazonEKSEditPolicy

此访问策略包括允许 IAM 主体编辑大多数 Kubernetes 资源的权限。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSEditPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

apps

daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale

create, delete, deletecollection, patch, update

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

autoscaling

horizontalpodautoscalers

create, delete, deletecollection, patch, update

batch

cronjobs, jobs

create, delete, deletecollection, patch, update

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale

create, delete, deletecollection, patch, update

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, networkpolicies

create, delete, deletecollection, patch, update

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets

create, delete, deletecollection, patch, update

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

namespaces

get, list, watch

pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy

get, list, watch

serviceaccounts

impersonate

pods, pods/attach, pods/exec, pods/portforward, pods/proxy

create, delete, deletecollection, patch, update

configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy

create, delete, deletecollection, patch, update

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status

get, list, watch

AmazonEKSViewPolicy

此访问策略包括允许 IAM 主体查看大多数 Kubernetes 资源的权限。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSViewPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

apps

controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status

get, list, watch

autoscaling

horizontalpodautoscalers, horizontalpodautoscalers/status

get, list, watch

batch

cronjobs, cronjobs/status, jobs, jobs/status

get, list, watch

discovery.k8s.io

endpointslices

get, list, watch

extensions

daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale

get, list, watch

networking.k8s.io

ingresses, ingresses/status, networkpolicies

get, list, watch

policy

poddisruptionbudgets, poddisruptionbudgets/status

get, list, watch

configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status

get, list, watch

bindingseventslimitrangesnamespaces/statuspods/logpods/statusreplicationcontrollers/statusresourcequotas、resourcequotas/status

get, list, watch

namespaces

get, list, watch

AmazonEKSSecretReaderPolicy

此访问策略包括允许 IAM 主体读取 Kubernetes 密钥的权限。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

secrets

get, list, watch

AmazonEKSAutoNodePolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy

此策略包含允许 Amazon EKS 组件完成以下任务的下列权限:

  • kube-proxy – 监控网络端点和服务,并管理相关事件。这将启用集群范围的网络代理功能。

  • ipamd – 管理 Amazon VPC 联网资源和容器网络接口(CNI)。这将允许 IP 地址管理进程守护程序处理容器组联网。

  • coredns – 访问端点和服务等服务发现资源。这将在集群内启用 DNS 解析。

  • ebs-csi-driver – 使用 Amazon EBS 卷的存储相关资源。这将允许动态预置和挂载持久性卷。

  • neuron – 监控 Amazon Neuron设备的节点和容器组。这将有助于 Amazon Inferentia 和 Trainium 加速器的管理。

  • node-monitoring-agent – 访问节点诊断和事件。这将启用集群运行状况监控和诊断收集。

每个组件都使用一个专用的服务账户,并且仅限于其特定功能所需的权限。

如果您在 NodeClass 中手动指定节点 IAM 角色,则需要创建一个访问条目,将新的节点 IAM 角色与该访问策略关联。

AmazonEKSBlockStoragePolicy

注意

此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy

此策略包含允许 Amazon EKS 管理用于存储操作的领导副本选择和协调资源的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这将使 EKS 存储组件能够通过领导副本选择机制来协调其在集群中的活动。

此策略的范围限于 EKS 存储组件使用的特定租赁资源,以防止对集群中其他协调资源的访问权限冲突。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持块存储功能的正常运行。

AmazonEKSLoadBalancingPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy

此策略包含允许 Amazon EKS 管理用于负载均衡的领导副本选择的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这让 EKS 负载均衡组件能够通过领导副本选择来协调多个副本之间的活动。

此策略的范围特别限于负载均衡租赁资源,以确保适当的协调,同时防止访问集群中的其他租赁资源。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSNetworkingPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy

此策略包含允许 Amazon EKS 管理用于联网的领导副本选择的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这让 EKS 网络组件能够通过领导副本选择来协调 IP 地址分配活动。

此策略的范围特别限于联网租赁资源,以确保适当的协调,同时防止访问集群中的其他租赁资源。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSComputePolicy

注意

此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSComputePolicy

此策略包含允许 Amazon EKS 管理用于计算操作的领导副本选择资源的权限:

  • coordination.k8s.io – 创建和管理领导副本选择的租赁对象。这让 EKS 计算组件能够通过领导副本选择来协调节点扩缩活动。

此策略的范围特别限于计算管理租赁资源,同时允许对集群中所有租赁资源的基本读取访问权限(getwatch)。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSBlockStorageClusterPolicy

注意

此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy

此策略将授予 Amazon EKS 自动模式块存储功能的必要权限,有助于对 Amazon EKS 集群中块存储资源的高效管理。此策略包含以下权限:

CSI 驱动程序管理:

  • 创建、读取、更新和删除 CSI 驱动程序,尤其是针对块存储。

卷管理:

  • 列出、观察、创建、更新、修补和删除持久性卷。

  • 列出、观察和更新持久性卷声明。

  • 修补持久性卷声明状态。

节点和容器组交互:

  • 读取节点和容器组信息。

  • 管理与存储操作相关的事件。

存储类和属性:

  • 读取存储类和 CSI 节点。

  • 读取卷属性类。

卷挂载:

  • 列出、观察和修改卷挂载及其状态。

快照操作:

  • 管理卷快照、快照内容和快照类别。

  • 处理卷组快照和相关资源的操作。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的块存储管理。此策略将各种操作的权限进行组合,包括块存储卷的预置、挂载、大小调整和快照创建等。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持块存储功能的正常运行。

AmazonEKSComputeClusterPolicy

注意

此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy

此策略将授予 Amazon EKS 自动模式计算管理功能的必要权限,有助于在 Amazon EKS 集群中实现高效的计算资源编排和扩缩。此策略包含以下权限:

节点管理:

  • 创建、读取、更新、删除和管理节点池和节点声明的状态。

  • 管理节点类,包括创建、修改和删除。

调度和资源管理:

  • 对容器组、节点、持久性卷、持久性卷声明、复制控制器和命名空间的读取权限。

  • 对存储类、CSI 节点和卷挂载的读取权限。

  • 列出和观察部署、进程守护程序集、副本集和有状态集。

  • 读取容器组中断预算。

事件处理:

  • 创建、读取和管理集群事件。

节点取消预置和容器组弹出:

  • 更新、修补和删除节点。

  • 创建容器组弹出并在必要时删除容器组。

自定义资源定义(CRD)管理:

  • 创建新建 CRD。

  • 管理与节点管理相关的特定 CRD(节点类、节点池、节点声明和节点诊断)。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的计算管理。此策略将各种操作的权限进行组合,包括节点预置、调度、扩缩和资源优化。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持计算管理功能的正常运行。

AmazonEKSLoadBalancingClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy

此策略将授予 Amazon EKS 自动模式负载均衡功能的必要权限,有助于对 Amazon EKS 集群中负载均衡资源的高效管理和配置。此策略包含以下权限:

事件和资源管理:

  • 创建和修补事件。

  • 对容器组、节点、端点和命名空间的读取权限。

  • 更新容器组状态。

服务和 Ingress 管理:

  • 全面管理服务及其状态。

  • 全面控制 Ingress 及其状态。

  • 对端点切片和 Ingress 类的读取权限。

目标组绑定:

  • 创建和修改目标组绑定及其状态。

  • 对 Ingress 类参数的读取权限。

自定义资源定义(CRD)管理:

  • 创建并读取所有 CRD。

  • 对 targetgroupbindings.eks.amazonaws.com 和 ingressclassparams.eks.amazonaws.com CRD 的具体管理。

Webhook 配置:

  • 创建和读取变异和验证性 Webhook 配置。

  • 管理 eks-load-balancing-webhook 配置。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的负载均衡管理。此策略将各种操作的权限进行组合,包括服务公开、Ingress 路由以及与 Amazon 负载均衡服务的集成。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持负载均衡功能的正常运行。

AmazonEKSNetworkingClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy

AmazonEKSNetworkingClusterPolicy

此策略将授予 Amazon EKS 自动模式联网功能的必要权限,有助于对 Amazon EKS 集群中联网资源的高效管理和配置。此策略包含以下权限:

节点和容器组管理:

  • 对节点类及其状态的读取权限。

  • 对节点声明及其状态的读取权限。

  • 对容器组的读取权限。

CNI 节点管理:

  • CNINodes 及其状态的权限,包括创建、读取、更新、删除和修补。

自定义资源定义(CRD)管理:

  • 创建并读取所有 CRD。

  • cninodes.eks.amazonaws.com CRD 的具体管理(更新、修补、删除)。

事件管理:

  • 创建和修补事件。

此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的联网管理。此策略将各种操作的权限进行组合,包括节点联网配置、CNI(容器网络接口)管理和相关的自定义资源处理。

此策略允许联网组件与节点相关资源进行交互,管理特定于 CNI 的节点配置,以及处理对集群中联网操作至关重要的自定义资源。

启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。

AmazonEKSHybridPolicy

注意

此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。

此访问策略包含授予 EKS 访问集群节点的权限。当与访问条目关联时,其访问范围通常是集群,而不是 Kubernetes 命名空间。此策略由 Amazon EKS 混合节点功能使用。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy

Kubernetes API 组 Kubernetes 非资源 URL Kubernetes 资源 Kubernetes 动词(权限)

*

nodes

list

AmazonEKSClusterInsightsPolicy

注意

此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy

此策略授予 Amazon EKS 集群见解功能的只读权限。此策略包含以下权限:

节点访问权限:– 列出并查看集群节点 – 读取节点状态信息

DaemonSet 访问权限:– 读取 kube-proxy 配置的访问权限

此策略由 EKS 集群见解服务自动管理。有关更多信息,请参阅 利用集群见解为 Kubernetes 版本升级做好准备并对错误配置进行问题排查

AWSBackupFullAccessPolicyForBackup

ARN arn:aws-cn:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup

AWSBackupFullAccessPolicyForBackup

此策略授予 Amazon Backup 管理和创建 EKS 集群备份所需的权限。该策略包含以下权限:

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

*

*

list, get

AWSBackupFullAccessPolicyForRestore

ARN arn:aws-cn:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore

AWSBackupFullAccessPolicyForRestore

此策略授予 Amazon Backup 管理和还原 EKS 集群备份所需的权限。该策略包含以下权限:

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

*

*

list, get, create

AmazonEKSACKPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSACKPolicy

此策略授予 Amazon Controllers for Kubernetes(ACK)功能所需的权限,以管理来自 Kubernetes 的 Amazon 资源。此策略包含以下权限:

ACK 自定义资源管理:

  • 对 50 多项 Amazon 服务的所有 ACK 服务自定义资源的完全访问权限,包括 S3、RDS、DynamoDB、Lambda、EC2 等。

  • 创建、读取、更新和删除 ACK 自定义资源定义。

命名空间访问权限:

  • 读取命名空间,用于整理资源。

主节点选举:

  • 创建和读取协调租约,用于主节点选举。

  • 更新和删除特定的 ACK 服务控制器租约。

事件管理:

  • 创建和修补事件,用于 ACK 操作。

此策略旨在通过 Kubernetes API 支持全面的 Amazon 资源管理。创建 ACK 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目。

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

namespaces

get, watch, list

services.k8s.aws, acm.services.k8s.aws, acmpca.services.k8s.aws, apigateway.services.k8s.aws, apigatewayv2.services.k8s.aws, applicationautoscaling.services.k8s.aws, athena.services.k8s.aws, bedrock.services.k8s.aws, bedrockagent.services.k8s.aws, bedrockagentcorecontrol.services.k8s.aws, cloudfront.services.k8s.aws, cloudtrail.services.k8s.aws, cloudwatch.services.k8s.aws, cloudwatchlogs.services.k8s.aws, codeartifact.services.k8s.aws, cognitoidentityprovider.services.k8s.aws, documentdb.services.k8s.aws, dynamodb.services.k8s.aws, ec2.services.k8s.aws, ecr.services.k8s.aws, ecrpublic.services.k8s.aws, ecs.services.k8s.aws, efs.services.k8s.aws, eks.services.k8s.aws, elasticache.services.k8s.aws, elbv2.services.k8s.aws, emrcontainers.services.k8s.aws, eventbridge.services.k8s.aws, iam.services.k8s.aws, kafka.services.k8s.aws, keyspaces.services.k8s.aws, kinesis.services.k8s.aws, kms.services.k8s.aws, lambda.services.k8s.aws, memorydb.services.k8s.aws, mq.services.k8s.aws, networkfirewall.services.k8s.aws, opensearchservice.services.k8s.aws, organizations.services.k8s.aws, pipes.services.k8s.aws, prometheusservice.services.k8s.aws, ram.services.k8s.aws, rds.services.k8s.aws, recyclebin.services.k8s.aws, route53.services.k8s.aws, route53resolver.services.k8s.aws, s3.services.k8s.aws, s3control.services.k8s.aws, sagemaker.services.k8s.aws, secretsmanager.services.k8s.aws, ses.services.k8s.aws, sfn.services.k8s.aws, sns.services.k8s.aws, sqs.services.k8s.aws, ssm.services.k8s.aws, wafv2.services.k8s.aws

*

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(仅限特定的 ACK 服务控制器租约)

delete, update, patch

events

create, patch

apiextensions.k8s.io

customresourcedefinitions

*

AmazonEKSArgoCDClusterPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy

此策略授予 Argo CD 功能发现资源和管理集群范围对象所需的集群级权限。此策略包含以下权限:

命名空间管理:

  • 创建、读取、更新和删除命名空间,用于管理应用程序命名空间。

自定义资源定义管理:

  • 管理特定于 Argo CD 的 CRD(Applications、AppProjects、ApplicationSets)。

API 发现:

  • 读取 Kubernetes API 端点,用于资源发现。

此策略旨在支持集群级 Argo CD 操作,包括管理命名空间和安装 CRD。创建 Argo CD 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目。

Kubernetes API 组 Kubernetes 非资源 URL Kubernetes 资源 Kubernetes 动词(权限)

namespaces

create, get, update, patch, delete

apiextensions.k8s.io

customresourcedefinitions

create

apiextensions.k8s.io

customresourcedefinitions(仅限 Argo CD CRD)

get, update, patch, delete

/api, /api/*, /apis, /apis/*

get

AmazonEKSArgoCDPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy

此策略授予 Argo CD 功能部署和管理应用程序所需的命名空间级权限。此策略包含以下权限:

密钥管理:

  • 对密钥的完全访问权限,用于 Git 凭证和集群密钥。

ConfigMap 访问权限:

  • 读取 ConfigMap,以便在客户尝试使用不支持的 Argo CD ConfigMap 时发送警告。

事件管理:

  • 读取和创建事件,用于应用程序生命周期跟踪。

Argo CD 资源管理:

  • 对 Applications、ApplicationSets 和 AppProjects 的完全访问权限。

  • 管理 Argo CD 资源的终结器和状态。

此策略旨在支持命名空间级 Argo CD 操作,包括部署和管理应用程序。创建 Argo CD 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目,作用范围为 Argo CD 命名空间。

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

secrets

*

configmaps

get, list, watch

events

get, list, watch, patch, create

argoproj.io

applications, applications/finalizers, applications/status, applicationsets, applicationsets/finalizers, applicationsets/status, appprojects, appprojects/finalizers, appprojects/status

*

AmazonEKSKROPolicy

ARN arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSKROPolicy

此策略授予 kro(Kube Resource Orchestrator)功能创建和管理自定义 Kubernetes API 所需的权限。此策略包含以下权限:

kro 资源管理:

  • 对所有 kro 资源的完全访问权限,包括 ResourceGraphDefinitions 和自定义资源实例。

自定义资源定义管理:

  • 创建、读取、更新和删除由 ResourceGraphDefinitions 定义的自定义 API 的 CRD。

主节点选举:

  • 创建和读取协调租约,用于主节点选举。

  • 更新和删除 kro 控制器租约。

事件管理:

  • 创建和修补事件,用于 kro 操作。

此策略旨在通过 kro 支持全面的资源组合和自定义 API 管理。创建 kro 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目。

Kubernetes API 组 Kubernetes 资源 Kubernetes 动词(权限)

kro.run

*

*

apiextensions.k8s.io

customresourcedefinitions

*

coordination.k8s.io

leases

create, get, list, watch

coordination.k8s.io

leases(仅限 kro 控制器租约)

delete, update, patch

events

create, patch

访问策略更新

查看有关自引入访问策略以来更新的详细信息。要获得有关此页面更改的自动提示,请订阅 文档历史记录 中的 RSS 源。

更改 描述 日期

添加适用于 EKS 功能的策略

发布用于管理 EKS 功能的 AmazonEKSACKPolicyAmazonEKSArgoCDClusterPolicyAmazonEKSArgoCDPolicyAmazonEKSKROPolicy

2025 年 11 月 22 日

添加 AmazonEKSSecretReaderPolicy

添加用于密钥只读访问的新策略

2025 年 11 月 6 日

为 EKS 集群见解添加策略

发布 AmazonEKSClusterInsightsPolicy

2024 年 12 月 2 日

增加了适用于 Amazon EKS 混合节点功能的策略

发布 AmazonEKSHybridPolicy

2024 年 12 月 2 日

增加了适用于 Amazon EKS 自动模式的策略

这些访问策略授予集群 IAM 角色和节点 IAM 角色调用 Kubernetes API 的权限。Amazon 使用这些策略来自动执行存储、计算和联网资源的例行任务。

2024 年 12 月 2 日

添加 AmazonEKSAdminViewPolicy

添加新策略以扩展查看权限,包括 Secrets 等资源。

2024 年 4 月 23 日

引入访问策略。

Amazon EKS 引入访问策略。

2023 年 5 月 29 日