**帮助改进此页面**
要帮助改进本用户指南,请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。
# 检查访问策略权限
访问策略包括包含 Kubernetes `verbs`(权限)和 `resources` 的 `rules`。访问策略不包括 IAM 权限或资源。访问策略与 Kubernetes `Role` 和 `ClusterRole` 对象类似,仅包括 `allow` `rules`。您无法修改访问策略的内容。您无法创建自己的访问策略。如果访问策略中的权限不符合需求,请创建 Kubernetes RBAC 对象并为访问条目指定*组名称*。有关更多信息,请参阅 [创建访问条目](creating-access-entries.md)。访问策略中包含的权限与 Kubernetes 面向用户的集群角色中的权限类似。有关更多信息,请参阅 Kubernetes 文档中的[面向用户的角色](https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles)。
## 列出所有策略
使用此页面上列出的任何一个访问策略,或者使用 Amazon CLI 检索所有可用访问策略的列表:
```
aws eks list-access-policies
```
预期输出应如下所示(为简洁起见已缩写):
```
{
"accessPolicies": [
{
"name": "AmazonAIOpsAssistantPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
},
{
"name": "AmazonARCRegionSwitchScalingPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
},
{
"name": "AmazonEKSAdminPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
},
{
"name": "AmazonEKSAdminViewPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
},
{
"name": "AmazonEKSAutoNodePolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
}
// Additional policies omitted
]
}
```
## AmazonEKSAdminPolicy
此访问策略包括授予 IAM 主体对资源的大部分权限的权限。当与访问条目关联时,其访问范围通常是一个或多个 Kubernetes 命名空间。如果您希望 IAM 主体拥有集群上所有资源的管理员访问权限,请改为将 [AmazonEKSClusterAdminPolicy](#access-policy-permissions-amazoneksclusteradminpolicy) 访问策略关联到您的访问条目。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy`
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `authorization.k8s.io` | `localsubjectaccessreviews` | `create` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| `rbac.authorization.k8s.io` | `rolebindings`, `roles` | `create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`,`list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `serviceaccounts` | `impersonate` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`,`list`, `watch` |
## AmazonEKSClusterAdminPolicy
此访问策略包括授予 IAM 主体对集群的管理员访问权限的权限。当与访问条目关联时,其访问范围通常是集群,而不是 Kubernetes 命名空间。如果您希望 IAM 主体的管理范围更有限,请考虑将 [AmazonEKSAdminPolicy](#access-policy-permissions-amazoneksadminpolicy) 访问策略与您的访问条目相关联。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy`
| Kubernetes API 组 | Kubernetes 非资源 URL | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- | --- |
| `*` | | `*` | `*` |
| | `*` | | `*` |
## AmazonEKSAdminViewPolicy
此访问策略包括授予 IAM 主体列出/查看集群中所有资源的权限。请注意,此项包括 [Kubernetes 密钥](https://kubernetes.io/docs/concepts/configuration/secret/)。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy`
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `*` | `*` | `get`, `list`, `watch` |
## AmazonEKSEditPolicy
此访问策略包括允许 IAM 主体编辑大多数 Kubernetes 资源的权限。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSEditPolicy`
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `serviceaccounts` | `impersonate` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
## AmazonEKSViewPolicy
此访问策略包括允许 IAM 主体查看大多数 Kubernetes 资源的权限。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSViewPolicy`
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`、`events`、`limitranges`、`namespaces/status`、`pods/log`、`pods/status`、`replicationcontrollers/status`、`resourcequotas`、r`esourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
## AmazonEKSSecretReaderPolicy
此访问策略包括允许 IAM 主体读取 [Kubernetes 密钥](https://kubernetes.io/docs/concepts/configuration/secret/)的权限。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy`
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| | `secrets` | `get`, `list`, `watch` |
## AmazonEKSAutoNodePolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy`
此策略包含允许 Amazon EKS 组件完成以下任务的下列权限:
+ `kube-proxy` – 监控网络端点和服务,并管理相关事件。这将启用集群范围的网络代理功能。
+ `ipamd` – 管理 Amazon VPC 联网资源和容器网络接口(CNI)。这将允许 IP 地址管理进程守护程序处理容器组联网。
+ `coredns` – 访问端点和服务等服务发现资源。这将在集群内启用 DNS 解析。
+ `ebs-csi-driver` – 使用 Amazon EBS 卷的存储相关资源。这将允许动态预置和挂载持久性卷。
+ `neuron` – 监控 Amazon Neuron设备的节点和容器组。这将有助于 Amazon Inferentia 和 Trainium 加速器的管理。
+ `node-monitoring-agent` – 访问节点诊断和事件。这将启用集群运行状况监控和诊断收集。
每个组件都使用一个专用的服务账户,并且仅限于其特定功能所需的权限。
如果您在 NodeClass 中手动指定节点 IAM 角色,则需要创建一个访问条目,将新的节点 IAM 角色与该访问策略关联。
## AmazonEKSBlockStoragePolicy
**注意**
此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy`
此策略包含允许 Amazon EKS 管理用于存储操作的领导副本选择和协调资源的权限:
+ `coordination.k8s.io` – 创建和管理领导副本选择的租赁对象。这将使 EKS 存储组件能够通过领导副本选择机制来协调其在集群中的活动。
此策略的范围限于 EKS 存储组件使用的特定租赁资源,以防止对集群中其他协调资源的访问权限冲突。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持块存储功能的正常运行。
## AmazonEKSLoadBalancingPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy`
此策略包含允许 Amazon EKS 管理用于负载均衡的领导副本选择的权限:
+ `coordination.k8s.io` – 创建和管理领导副本选择的租赁对象。这让 EKS 负载均衡组件能够通过领导副本选择来协调多个副本之间的活动。
此策略的范围特别限于负载均衡租赁资源,以确保适当的协调,同时防止访问集群中的其他租赁资源。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。
## AmazonEKSNetworkingPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy`
此策略包含允许 Amazon EKS 管理用于联网的领导副本选择的权限:
+ `coordination.k8s.io` – 创建和管理领导副本选择的租赁对象。这让 EKS 网络组件能够通过领导副本选择来协调 IP 地址分配活动。
此策略的范围特别限于联网租赁资源,以确保适当的协调,同时防止访问集群中的其他租赁资源。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。
## AmazonEKSComputePolicy
**注意**
此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSComputePolicy`
此策略包含允许 Amazon EKS 管理用于计算操作的领导副本选择资源的权限:
+ `coordination.k8s.io` – 创建和管理领导副本选择的租赁对象。这让 EKS 计算组件能够通过领导副本选择来协调节点扩缩活动。
此策略的范围特别限于计算管理租赁资源,同时允许对集群中所有租赁资源的基本读取访问权限(`get`、`watch`)。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。
## AmazonEKSBlockStorageClusterPolicy
**注意**
此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy`
此策略将授予 Amazon EKS 自动模式块存储功能的必要权限,有助于对 Amazon EKS 集群中块存储资源的高效管理。 策略包含以下权限:
CSI 驱动程序管理:
+ 创建、读取、更新和删除 CSI 驱动程序,尤其是针对块存储。
卷管理:
+ 列出、观察、创建、更新、修补和删除持久性卷。
+ 列出、观察和更新持久性卷声明。
+ 修补持久性卷声明状态。
节点和容器组交互:
+ 读取节点和容器组信息。
+ 管理与存储操作相关的事件。
存储类和属性:
+ 读取存储类和 CSI 节点。
+ 读取卷属性类。
卷挂载:
+ 列出、观察和修改卷挂载及其状态。
快照操作:
+ 管理卷快照、快照内容和快照类别。
+ 处理卷组快照和相关资源的操作。
此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的块存储管理。此策略将各种操作的权限进行组合,包括块存储卷的预置、挂载、大小调整和快照创建等。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持块存储功能的正常运行。
## AmazonEKSComputeClusterPolicy
**注意**
此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy`
此策略将授予 Amazon EKS 自动模式计算管理功能的必要权限,有助于在 Amazon EKS 集群中实现高效的计算资源编排和扩缩。 策略包含以下权限:
节点管理:
+ 创建、读取、更新、删除和管理节点池和节点声明的状态。
+ 管理节点类,包括创建、修改和删除。
调度和资源管理:
+ 对容器组、节点、持久性卷、持久性卷声明、复制控制器和命名空间的读取权限。
+ 对存储类、CSI 节点和卷挂载的读取权限。
+ 列出和观察部署、进程守护程序集、副本集和有状态集。
+ 读取容器组中断预算。
事件处理:
+ 创建、读取和管理集群事件。
节点取消预置和容器组弹出:
+ 更新、修补和删除节点。
+ 创建容器组弹出并在必要时删除容器组。
自定义资源定义(CRD)管理:
+ 创建新建 CRD。
+ 管理与节点管理相关的特定 CRD(节点类、节点池、节点声明和节点诊断)。
此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的计算管理。此策略将各种操作的权限进行组合,包括节点预置、调度、扩缩和资源优化。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持计算管理功能的正常运行。
## AmazonEKSLoadBalancingClusterPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy`
此策略将授予 Amazon EKS 自动模式负载均衡功能的必要权限,有助于对 Amazon EKS 集群中负载均衡资源的高效管理和配置。 策略包含以下权限:
事件和资源管理:
+ 创建和修补事件。
+ 对容器组、节点、端点和命名空间的读取权限。
+ 更新容器组状态。
服务和 Ingress 管理:
+ 全面管理服务及其状态。
+ 全面控制 Ingress 及其状态。
+ 对端点切片和 Ingress 类的读取权限。
目标组绑定:
+ 创建和修改目标组绑定及其状态。
+ 对 Ingress 类参数的读取权限。
自定义资源定义(CRD)管理:
+ 创建并读取所有 CRD。
+ 对 targetgroupbindings.eks.amazonaws.com 和 ingressclassparams.eks.amazonaws.com CRD 的具体管理。
Webhook 配置:
+ 创建和读取变异和验证性 Webhook 配置。
+ 管理 eks-load-balancing-webhook 配置。
此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的负载均衡管理。此策略将各种操作的权限进行组合,包括服务公开、Ingress 路由以及与 Amazon 负载均衡服务的集成。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持负载均衡功能的正常运行。
## AmazonEKSNetworkingClusterPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy`
AmazonEKSNetworkingClusterPolicy
此策略将授予 Amazon EKS 自动模式联网功能的必要权限,有助于对 Amazon EKS 集群中联网资源的高效管理和配置。 策略包含以下权限:
节点和容器组管理:
+ 对节点类及其状态的读取权限。
+ 对节点声明及其状态的读取权限。
+ 对容器组的读取权限。
CNI 节点管理:
+ CNINodes 及其状态的权限,包括创建、读取、更新、删除和修补。
自定义资源定义(CRD)管理:
+ 创建并读取所有 CRD。
+ cninodes.eks.amazonaws.com CRD 的具体管理(更新、修补、删除)。
事件管理:
+ 创建和修补事件。
此策略适用于在自动模式下运行的 Amazon EKS 集群,旨在支持全面的联网管理。此策略将各种操作的权限进行组合,包括节点联网配置、CNI(容器网络接口)管理和相关的自定义资源处理。
此策略允许联网组件与节点相关资源进行交互,管理特定于 CNI 的节点配置,以及处理对集群中联网操作至关重要的自定义资源。
启用自动模式后,Amazon EKS 会自动使用此访问策略为集群 IAM 角色创建访问条目,从而确保具备必要的权限来支持联网功能的正常运行。
## AmazonEKSHybridPolicy
**注意**
此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。
此访问策略包含授予 EKS 访问集群节点的权限。当与访问条目关联时,其访问范围通常是集群,而不是 Kubernetes 命名空间。此策略由 Amazon EKS 混合节点功能使用。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy`
| Kubernetes API 组 | Kubernetes 非资源 URL | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- | --- |
| `*` | | `nodes` | `list` |
## AmazonEKSClusterInsightsPolicy
**注意**
此策略仅适用于 Amazon 服务相关角色,不能与客户自行管理的角色一起使用。
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy`
此策略授予 Amazon EKS 集群见解功能的只读权限。 策略包含以下权限:
节点访问权限:– 列出并查看集群节点 – 读取节点状态信息
DaemonSet 访问权限:– 读取 kube-proxy 配置的访问权限
此策略由 EKS 集群见解服务自动管理。有关更多信息,请参阅 [利用集群见解为 Kubernetes 版本升级做好准备并对错误配置进行问题排查](cluster-insights.md)。
## AWSBackupFullAccessPolicyForBackup
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup`
AWSBackupFullAccessPolicyForBackup
此策略授予 Amazon Backup 管理和创建 EKS 集群备份所需的权限。该策略包含以下权限:
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `*` | `*` | `list`, `get` |
## AWSBackupFullAccessPolicyForRestore
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore`
AWSBackupFullAccessPolicyForRestore
此策略授予 Amazon Backup 管理和还原 EKS 集群备份所需的权限。该策略包含以下权限:
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `*` | `*` | `list`, `get`, `create` |
## AmazonEKSACKPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSACKPolicy`
此策略授予 Amazon Controllers for Kubernetes(ACK)功能所需的权限,以管理来自 Kubernetes 的 Amazon 资源。 策略包含以下权限:
ACK 自定义资源管理:
+ 对 50 多项 Amazon 服务的所有 ACK 服务自定义资源的完全访问权限,包括 S3、RDS、DynamoDB、Lambda、EC2 等。
+ 创建、读取、更新和删除 ACK 自定义资源定义。
命名空间访问权限:
+ 读取命名空间,用于整理资源。
主节点选举:
+ 创建和读取协调租约,用于主节点选举。
+ 更新和删除特定的 ACK 服务控制器租约。
事件管理:
+ 创建和修补事件,用于 ACK 操作。
此策略旨在通过 Kubernetes API 支持全面的 Amazon 资源管理。创建 ACK 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目。
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| | `namespaces` | `get`, `watch`, `list` |
| `services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws` | `*` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases`(仅限特定的 ACK 服务控制器租约) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
## AmazonEKSArgoCDClusterPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy`
此策略授予 Argo CD 功能发现资源和管理集群范围对象所需的集群级权限。 策略包含以下权限:
命名空间管理:
+ 创建、读取、更新和删除命名空间,用于管理应用程序命名空间。
自定义资源定义管理:
+ 管理特定于 Argo CD 的 CRD(Applications、AppProjects、ApplicationSets)。
API 发现:
+ 读取 Kubernetes API 端点,用于资源发现。
此策略旨在支持集群级 Argo CD 操作,包括管理命名空间和安装 CRD。创建 Argo CD 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目。
| Kubernetes API 组 | Kubernetes 非资源 URL | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- | --- |
| | | `namespaces` | `create`, `get`, `update`, `patch`, `delete` |
| `apiextensions.k8s.io` | | `customresourcedefinitions` | `create` |
| `apiextensions.k8s.io` | | `customresourcedefinitions`(仅限 Argo CD CRD) | `get`, `update`, `patch`, `delete` |
| | `/api`, `/api/*`, `/apis`, `/apis/*` | | `get` |
## AmazonEKSArgoCDPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy`
此策略授予 Argo CD 功能部署和管理应用程序所需的命名空间级权限。 策略包含以下权限:
密钥管理:
+ 对密钥的完全访问权限,用于 Git 凭证和集群密钥。
ConfigMap 访问权限:
+ 读取 ConfigMap,以便在客户尝试使用不支持的 Argo CD ConfigMap 时发送警告。
事件管理:
+ 读取和创建事件,用于应用程序生命周期跟踪。
Argo CD 资源管理:
+ 对 Applications、ApplicationSets 和 AppProjects 的完全访问权限。
+ 管理 Argo CD 资源的终结器和状态。
此策略旨在支持命名空间级 Argo CD 操作,包括部署和管理应用程序。创建 Argo CD 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目,作用范围为 Argo CD 命名空间。
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| | `secrets` | `*` |
| | `configmaps` | `get`, `list`, `watch` |
| | `events` | `get`, `list`, `watch`, `patch`, `create` |
| `argoproj.io` | `applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status` | `*` |
## AmazonEKSKROPolicy
**ARN** – ` arn:aws-cn:eks::aws:cluster-access-policy/AmazonEKSKROPolicy`
此策略授予 kro(Kube Resource Orchestrator)功能创建和管理自定义 Kubernetes API 所需的权限。 策略包含以下权限:
kro 资源管理:
+ 对所有 kro 资源的完全访问权限,包括 ResourceGraphDefinitions 和自定义资源实例。
自定义资源定义管理:
+ 创建、读取、更新和删除由 ResourceGraphDefinitions 定义的自定义 API 的 CRD。
主节点选举:
+ 创建和读取协调租约,用于主节点选举。
+ 更新和删除 kro 控制器租约。
事件管理:
+ 创建和修补事件,用于 kro 操作。
此策略旨在通过 kro 支持全面的资源组合和自定义 API 管理。创建 kro 功能时,Amazon EKS 会自动使用此访问策略为所提供的功能 IAM 角色创建访问条目。
| Kubernetes API 组 | Kubernetes 资源 | Kubernetes 动词(权限) |
| --- | --- | --- |
| `kro.run` | `*` | `*` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases`(仅限 kro 控制器租约) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
## 访问策略更新
查看有关自引入访问策略以来更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [文档历史记录](doc-history.md) 中的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 添加适用于 EKS 功能的策略 | 发布用于管理 EKS 功能的 `AmazonEKSACKPolicy`、`AmazonEKSArgoCDClusterPolicy`、`AmazonEKSArgoCDPolicy` 和 `AmazonEKSKROPolicy` | 2025 年 11 月 22 日 |
| 添加 `AmazonEKSSecretReaderPolicy` | 添加用于密钥只读访问的新策略 | 2025 年 11 月 6 日 |
| 为 EKS 集群见解添加策略 | 发布 `AmazonEKSClusterInsightsPolicy` | 2024 年 12 月 2 日 |
| 增加了适用于 Amazon EKS 混合节点功能的策略 | 发布 `AmazonEKSHybridPolicy` | 2024 年 12 月 2 日 |
| 增加了适用于 Amazon EKS 自动模式的策略 | 这些访问策略授予集群 IAM 角色和节点 IAM 角色调用 Kubernetes API 的权限。Amazon 使用这些策略来自动执行存储、计算和联网资源的例行任务。 | 2024 年 12 月 2 日 |
| 添加 `AmazonEKSAdminViewPolicy` | 添加新策略以扩展查看权限,包括 Secrets 等资源。 | 2024 年 4 月 23 日 |
| 引入访问策略。 | Amazon EKS 引入访问策略。 | 2023 年 5 月 29 日 |