AmazonAmazon Elastic Kubernetes Service 的托管策略 - Amazon EKS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AmazonAmazon Elastic Kubernetes Service 的托管策略

要向用户、组和角色添加权限,请使用Amazon托管策略而不是自己编写策略。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的Amazon托管策略。这些策略涵盖了常见的使用案例,可以在Amazonaccount. 有关 的更多信息Amazon托管策略,请参阅Amazon托管策略中的IAM 用户指南

Amazon服务维护和更新Amazon托管策略。您无法更改Amazon托管策略。服务偶尔会将其他权限添加到Amazon托管策略来支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。服务最有可能更新Amazon托管策略,当启动新功能或新操作可用时。服务不会从Amazon托管策略,因此策略更新不会破坏您的现有权限。

此外,Amazon支持跨多个服务的工作职能的托管策略。例如,ReadOnlyAccess Amazon托管策略提供对所有Amazon服务和资源. 当服务启动新功能时,Amazon为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅Amazon工作职能的 托管策略中的IAM 用户指南

Amazon托管策略:AmazonEKS_CNI_Policy

您可以挂载AmazonEKS_CNI_Policy添加到您的 IAM 实体。在创建 Amazon EC2 节点组之前,此策略必须附加到节点 IAM 角色,或者转换为由AmazonVPC CNI 插件。这样可以让它代表您执行操作。我们建议您将策略附加到仅由 CNI 插件使用的角色。有关更多信息,请参阅 Pod 联网 (CNI)配置 Amazon VPC CNI 插件以便为服务账户使用 IAM 角色

权限详细信息

此策略包括允许 Amazon EKS 完成以下任务的权限:

  • ec2— 允许 Amazon VPC CNI 插件执行操作,例如为容器配置弹性网络接口和 IP 地址,以便为 Amazon EKS 中运行的应用程序提供网络连接。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:AttachNetworkInterface", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeInstances", "ec2:DescribeTags", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstanceTypes", "ec2:DetachNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ] } ] }

Amazon托管策略:AmazonEKSClusterPolicy

您可以附加AmazonEKSClusterPolicy添加到您的 IAM 实体。在创建集群之前,您必须拥有一个集群 IAM 角色并附上此政策. 由亚马逊 EKS 管理的库贝内特群集呼叫其他Amazon服务。这样做是为了管理与服务一起使用的资源。

此策略包括允许 Amazon EKS 完成以下任务的权限:

  • autoscaling— 读取并更新 Auto Scaling 组的配置。Amazon EKS 不使用这些权限,但保留在策略中,以确保向后兼容。

  • ec2— 使用与 Amazon EC2 节点关联的卷和网络资源。这是必需的,以便 Kubernetes 控制平面可以将实例连接到集群,并动态配置和管理 Kubernetes 持久卷请求的 Amazon EBS 卷。

  • elasticloadbalancing— 使用弹性负载均衡器并将节点添加到其中作为目标。这是必需的,以便 Kubernetes 控制平面能够动态配置 Kubernetes 服务请求的弹性负载均衡器。

  • iam— 创建服务相关角色。这是必需的,以便 Kubernetes 控制平面能够动态配置 Kubernetes 服务请求的弹性负载均衡器。

  • kms— 从中读取密钥Amazon KMS。这是 Kubernetes 控制平面所必需的,以支持库贝内特斯机密的信封加密存储在etcd

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:DescribeAutoScalingGroups", "autoscaling:UpdateAutoScalingGroup", "ec2:AttachVolume", "ec2:AuthorizeSecurityGroupIngress", "ec2:CreateRoute", "ec2:CreateSecurityGroup", "ec2:CreateTags", "ec2:CreateVolume", "ec2:DeleteRoute", "ec2:DeleteSecurityGroup", "ec2:DeleteVolume", "ec2:DescribeInstances", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DetachVolume", "ec2:ModifyInstanceAttribute", "ec2:ModifyVolume", "ec2:RevokeSecurityGroupIngress", "ec2:DescribeAccountAttributes", "ec2:DescribeAddresses", "ec2:DescribeInternetGateways", "elasticloadbalancing:AddTags", "elasticloadbalancing:ApplySecurityGroupsToLoadBalancer", "elasticloadbalancing:AttachLoadBalancerToSubnets", "elasticloadbalancing:ConfigureHealthCheck", "elasticloadbalancing:CreateListener", "elasticloadbalancing:CreateLoadBalancer", "elasticloadbalancing:CreateLoadBalancerListeners", "elasticloadbalancing:CreateLoadBalancerPolicy", "elasticloadbalancing:CreateTargetGroup", "elasticloadbalancing:DeleteListener", "elasticloadbalancing:DeleteLoadBalancer", "elasticloadbalancing:DeleteLoadBalancerListeners", "elasticloadbalancing:DeleteTargetGroup", "elasticloadbalancing:DeregisterInstancesFromLoadBalancer", "elasticloadbalancing:DeregisterTargets", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeLoadBalancerAttributes", "elasticloadbalancing:DescribeLoadBalancerPolicies", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DetachLoadBalancerFromSubnets", "elasticloadbalancing:ModifyListener", "elasticloadbalancing:ModifyLoadBalancerAttributes", "elasticloadbalancing:ModifyTargetGroup", "elasticloadbalancing:ModifyTargetGroupAttributes", "elasticloadbalancing:RegisterInstancesWithLoadBalancer", "elasticloadbalancing:RegisterTargets", "elasticloadbalancing:SetLoadBalancerPoliciesForBackendServer", "elasticloadbalancing:SetLoadBalancerPoliciesOfListener", "kms:DescribeKey" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "elasticloadbalancing.amazonaws.com" } } } ] }

Amazon托管策略:AmazonEKSFargatePodExecutionRolePolicy

您可以附加AmazonEKSFargatePodExecutionRolePolicy添加到您的 IAM 实体。在创建 Fargate 配置文件之前,您必须创建 Fargate 容器执行角色并将此策略附加到其上。有关更多信息,请参阅 创建 Fargate Pod 执行角色AmazonFargate 配置文件

此策略向该角色授予提供对其他Amazon在 Fargate 上运行亚马逊 EKS 窗格所需的服务资源。

权限详细信息

此策略包括允许 Amazon EKS 完成以下任务的权限:

  • ecr— 允许在 Fargate 上运行的窗格提取存储在亚马逊 ECR 中的容器图像。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ecr:GetAuthorizationToken", "ecr:BatchCheckLayerAvailability", "ecr:GetDownloadUrlForLayer", "ecr:BatchGetImage" ], "Resource": "*" } ] }

Amazon托管策略:亚马逊网关服务策略

您不能附加AmazonEKSForFargateServiceRolePolicy添加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon EKS 代表您执行操作。有关更多信息,请参阅 Amazon 服务代表亚马逊 Fargate。

此策略授予 Amazon EKS 运行 Fargate 任务所需的权限。仅当您具有 Fargate 节点时,才会使用该策略。

权限详细信息

此策略包括以下权限,允许 Amazon EKS 完成以下任务。

  • ec2— 创建和删除弹性网络接口,并描述弹性网络接口和资源。这是必需的,以便 Amazon EKS Fargate 服务可以配置法门窗所需的 VPC 网络。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeRouteTables" ], "Resource": "*" } ] }

Amazon托管策略:AmazonEKSServicePolicy

您可以附加AmazonEKSServicePolicy添加到您的 IAM 实体。2020 年 4 月 16 日之前创建的集群需要您创建 IAM 角色并向其附加此策略。2020 年 4 月 16 日或之后创建的群集无需创建角色,也不需要您分配此策略。当您使用 IAM 委托人创建集群时,该委托人具有iam:CreateServiceLinkedRole权限,Amazon服务对于亚马逊将自动为您创建服务相关角色。服务相关角色具有Amazon托管策略:亚马逊服务策略附加此角色。

此策略允许 Amazon EKS 创建和管理运行 Amazon EKS 集群所需的资源。

权限详细信息

此策略包括以下权限,允许 Amazon EKS 完成以下任务。

  • eks— 启动更新后,更新您的集群的 Kubernetes 版本。Amazon EKS 不使用此权限,但仍保留在策略中,以确保向后兼容。

  • ec2— 使用弹性网络接口和其他网络资源和标签。这是 Amazon EKS 配置网络以便于节点和 Kubernetes 控制平面之间的通信所必需的。

  • route53— 将 VPC 与托管区域关联。Amazon EKS 要求为您的 Kubernetes 群集 API 服务器启用专用终端节点网络。

  • logs— 记录事件。这是必需的,以便亚马逊 EKS 可以将 Kubernetes 控制平面日志发送到 CloudWatch。

  • iam— 创建服务相关角色。这是必需的,以便亚马逊 EkScan 创建AWSServiceRoleForAmazonEKS服务相关角色。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DetachNetworkInterface", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:ModifyNetworkInterfaceAttribute", "iam:ListAttachedRolePolicies", "eks:UpdateClusterVersion" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Effect": "Allow", "Action": "route53:AssociateVPCWithHostedZone", "Resource": "*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/eks/*:*" }, { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:/aws/eks/*:*:*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "eks.amazonaws.com" } } } ] }

Amazon托管策略:亚马逊服务策略

您不能附加AmazonEKSServiceRolePolicy添加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon EKS 代表您执行操作。有关更多信息,请参阅 Amazon EKS 的服务相关角色权限。当您使用 IAM 委托人创建集群时,该委托人具有iam:CreateServiceLinkedRole权限,Amazon服务对于亚马逊服务相关角色将自动为您创建,并将此策略附加到该策略。

该策略允许服务相关角色调用Amazon服务。

权限详细信息

此策略包括以下权限,允许 Amazon EKS 完成以下任务。

  • ec2— 创建和描述弹性网络接口和 Amazon EC2 实例,集群安全组和创建集群所需的 VPC。

  • iam— 列出附加到 IAM 角色的所有托管策略。这是必需的,以便 Amazon EKS 能够列出和验证创建集群所需的所有托管策略和权限。

  • 将 VPC 与托管区域关联。Amazon EKS 要求为您的 Kubernetes 群集 API 服务器启用专用终端节点网络。

  • 日志事件。这是必需的,以便亚马逊 EKS 可以将 Kubernetes 控制平面日志发送到 CloudWatch。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DetachNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeInstances", "ec2:DescribeNetworkInterfaces", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVpcs", "ec2:CreateNetworkInterfacePermission", "iam:ListAttachedRolePolicies", "ec2:CreateSecurityGroup" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:DeleteSecurityGroup", "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "ForAnyValue:StringLike": { "ec2:ResourceTag/Name": "eks-cluster-sg*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*" ], "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "kubernetes.io/cluster/*" ] } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": [ "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "kubernetes.io/cluster/*" ], "aws:RequestTag/Name": "eks-cluster-sg*" } } }, { "Effect": "Allow", "Action": "route53:AssociateVPCWithHostedZone", "Resource": "arn:aws:route53:::hostedzone/*" }, { "Effect": "Allow", "Action": "logs:CreateLogGroup", "Resource": "arn:aws:logs:*:*:log-group:/aws/eks/*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:DescribeLogStreams" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/eks/*:*" }, { "Effect": "Allow", "Action": "logs:PutLogEvents", "Resource": "arn:aws:logs:*:*:log-group:/aws/eks/*:*:*" } ] }

Amazon托管策略:亚马逊电脑资源管理器

您可以挂载AmazonEKSVPCResourceController策略添加到您的 IAM 身份。如果您使用的是窗格的安全组,您必须将此策略附加到您的Amazon EKS 群集 IAM 角色以代表您执行操作。

此策略授予群集角色管理弹性网络接口和节点 IP 地址的权限。

权限详细信息

此策略包括允许 Amazon EKS 完成以下任务的权限:

  • ec2— 管理弹性网络接口和 IP 地址以支持容器安全组和 Windows 节点。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateNetworkInterfacePermission", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "ec2:ResourceTag/eks:eni:owner": "eks-vpc-resource-controller" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DetachNetworkInterface", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface", "ec2:AttachNetworkInterface", "ec2:UnassignPrivateIpAddresses", "ec2:AssignPrivateIpAddresses" ], "Resource": "*" } ] }

Amazon托管策略:AmazonEKSWorkerNodePolicy

您可以挂载AmazonEKSWorkerNodePolicy添加到您的 IAM 实体。您必须将此策略附加到节点 IAM 角色您在创建允许 Amazon EKS 代表您执行操作的 Amazon EC2 节点时指定的。如果使用eksctl,它会创建节点 IAM 角色并自动将此策略附加到角色。

此策略授予 Amazon EKS Amazon EC2 节点连接到 Amazon EKS 集群的权限。

权限详细信息

此策略包括允许 Amazon EKS 完成以下任务的权限:

  • ec2— 读取实例卷和网络信息。这是必需的,以便 Kubernetes 节点能够描述有关节点加入 Amazon EKS 集群所需的 Amazon EC2 资源的信息。

  • eks—(可选)将群集描述为节点引导的一部分。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:DescribeInstances", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVolumes", "ec2:DescribeVolumesModifications", "ec2:DescribeVpcs", "eks:DescribeCluster" ], "Resource": "*", "Effect": "Allow" } ] }

Amazon托管策略:AWSServiceRoleForAmazonEKSNodegroup

您不能附加AmazonServiceRoleForAmazonEKSNodegroup添加到您的 IAM 实体。此策略附加到服务相关角色,该角色允许 Amazon EKS 代表您执行操作。有关更多信息,请参阅 Amazon EKS 的服务相关角色权限

此策略授予AmazonServiceRoleForAmazonEKSNodegroup角色权限,允许其在您的账户中创建和管理 Amazon EC2 节点组。

权限详细信息

此策略包括允许 Amazon EKS 完成以下任务的权限:

  • ec2— 使用安全组、标签和启动模板。要启用远程访问配置,Amazon EKS 托管节点组必须执行此操作。此外,Amazon EKS 托管节点组会代表您创建启动模板。这将配置 Amazon EC2 Auto Scaling 组,用于支持每个托管节点组。

  • iam— 创建服务相关角色并传递角色。Amazon EKS 托管节点组需要此功能来管理创建托管节点组时传递的角色的实例配置文件。作为托管节点组的一部分启动的 Amazon EC2 实例使用此实例配置文件。Amazon EKS 需要为其他服务(如 Amazon EC2 Auto Scaling 组)创建与服务相关的角色。在创建托管节点组时使用这些值

  • autoscaling— 使用安全 Auto Scaling 组。Amazon EKS 托管节点组需要这样做才能管理支持每个托管节点组的 Amazon EC2 Auto Scaling 组。它还用于支持功能,例如在节点组更新期间终止或回收节点时逐出容器。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "SharedSecurityGroupRelatedPermissions", "Effect": "Allow", "Action": [ "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DescribeInstances", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/eks": "*" } } }, { "Sid": "EKSCreatedSecurityGroupRelatedPermissions", "Effect": "Allow", "Action": [ "ec2:RevokeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:DescribeInstances", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/eks:nodegroup-name": "*" } } }, { "Sid": "LaunchTemplateRelatedPermissions", "Effect": "Allow", "Action": [ "ec2:DeleteLaunchTemplate", "ec2:CreateLaunchTemplateVersion" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/eks:nodegroup-name": "*" } } }, { "Sid": "AutoscalingRelatedPermissions", "Effect": "Allow", "Action": [ "autoscaling:UpdateAutoScalingGroup", "autoscaling:DeleteAutoScalingGroup", "autoscaling:TerminateInstanceInAutoScalingGroup", "autoscaling:CompleteLifecycleAction", "autoscaling:PutLifecycleHook", "autoscaling:PutNotificationConfiguration" ], "Resource": "arn:aws:autoscaling:*:*:*:autoScalingGroupName/eks-*" }, { "Sid": "AllowAutoscalingToCreateSLR", "Effect": "Allow", "Condition": { "StringEquals": { "iam:AWSServiceName": "autoscaling.amazonaws.com" } }, "Action": "iam:CreateServiceLinkedRole", "Resource": "*" }, { "Sid": "AllowASGCreationByEKS", "Effect": "Allow", "Action": [ "autoscaling:CreateOrUpdateTags", "autoscaling:CreateAutoScalingGroup" ], "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": [ "eks", "eks:cluster-name", "eks:nodegroup-name" ] } } }, { "Sid": "AllowPassRoleToAutoscaling", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": "autoscaling.amazonaws.com" } } }, { "Sid": "AllowPassRoleToEC2", "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEqualsIfExists": { "iam:PassedToService": [ "ec2.amazonaws.com", "ec2.amazonaws.com.cn" ] } } }, { "Sid": "PermissionsToManageResourcesForNodegroups", "Effect": "Allow", "Action": [ "iam:GetRole", "ec2:CreateLaunchTemplate", "ec2:DescribeInstances", "iam:GetInstanceProfile", "ec2:DescribeLaunchTemplates", "autoscaling:DescribeAutoScalingGroups", "ec2:CreateSecurityGroup", "ec2:DescribeLaunchTemplateVersions", "ec2:RunInstances", "ec2:DescribeSecurityGroups", "ec2:GetConsoleOutput", "ec2:DescribeRouteTables", "ec2:DescribeSubnets" ], "Resource": "*" }, { "Sid": "PermissionsToCreateAndManageInstanceProfiles", "Effect": "Allow", "Action": [ "iam:CreateInstanceProfile", "iam:DeleteInstanceProfile", "iam:RemoveRoleFromInstanceProfile", "iam:AddRoleToInstanceProfile" ], "Resource": "arn:aws:iam::*:instance-profile/eks-*" }, { "Sid": "PermissionsToManageEKSAndKubernetesTags", "Effect": "Allow", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": "*", "Condition": { "ForAnyValue:StringLike": { "aws:TagKeys": [ "eks", "eks:cluster-name", "eks:nodegroup-name", "kubernetes.io/cluster/*" ] } } } ] }

Amazon EKS 更新Amazon托管策略

查看有关更新的详细信息Amazon托管策略,因为此服务开始跟踪这些更改。有关此页面更改的自动警报,请订阅 Amazon EKS 文档历史记录页面上的 RSS 源。

更改 说明 日期

添加权限AmazonEKSClusterPolicy

添加了ec2:DescribeAccountAttributesec2:DescribeAddresses, 和ec2:DescribeInternetGateways权限,以允许 Amazon EKS 为 Network Load Balancer 创建服务相关角色。 2021 年 6 月 17 日

亚马逊 EKS 开始追踪更改。

亚马逊 EKS 开始跟踪其Amazon托管策略。

2021 年 6 月 17 日