向 Amazon 服务授予对 Kubernetes API 的写入权限 - Amazon EKS
所需的权限CloudTrail 可见性
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

帮助改进此页面

要帮助改进本用户指南,请选择位于每个页面右侧窗格中的在 GitHub 上编辑此页面链接。

向 Amazon 服务授予对 Kubernetes API 的写入权限

所需的权限

要使 Amazon 服务能够对您的 Amazon EKS 集群中的 Kubernetes 资源执行写入操作,您必须同时授予 eks:AccessKubernetesApieks:MutateViaKubernetesApi IAM 权限。

例如,Amazon SageMaker HyperPod 使用这些权限来启用 SageMaker AI Studio 的模型部署。有关更多信息,请参阅《Amazon SageMaker AI 开发人员指南》中的设置可选的 JavaScript SDK 权限

重要

创建、更新和删除之类的写入操作需要这两种权限,如果缺少任一权限,则写入操作将失败。

CloudTrail 可见性

在对 Kubernetes 资源执行写入操作时,您会在 CloudTrail 日志中看到特定的操作名称:

  • createKubernetesObject:在创建新资源时

  • updateKubernetesObject:在修改现有资源时

  • deleteKubernetesObject:在移除资源时

这些 CloudTrail 事件会提供有关您对 Kubernetes 资源所做的所有修改的审计跟踪记录。

注意

这些操作名称将显示在 CloudTrail 日志中,仅用于审计目的。它们不是 IAM 操作,不能在 IAM 策略声明中使用。要通过 IAM 策略控制对 Kubernetes 资源的写入权限,请使用 所需的权限 部分中所示的 eks:MutateViaKubernetesApi 权限。