Amazon Elastic Kubernetes Service 的Amazon托管策略
Amazon 托管式策略是由 Amazon 创建和管理的独立策略。Amazon 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,Amazon 托管式策略可能不会为您的特定使用案例授予最低权限,因为其可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。
您无法更改 Amazon 托管式策略中定义的权限。如果 Amazon 更新在 Amazon 托管策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 Amazon 服务启动或新的 API 操作可用于现有服务时,Amazon 最有可能更新 Amazon 托管策略。
有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略。
Amazon托管策略:AmazonEKS_CNI_Policy
您可以将 AmazonEKS_CNI_Policy
附加到 IAM 实体。在创建 Amazon EC2 节点组之前,此策略必须附加到节点 IAM 角色,或 Amazon VPC CNI plugin for Kubernetes 专用的 IAM 角色。这样它可以代表您执行操作。我们建议您将策略附加到仅由插件使用的角色。有关更多信息,请参阅Amazon VPC CNI 和配置 Amazon VPC CNI 插件以使用 IRSA。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
ec2:*NetworkInterface
和ec2:*PrivateIpAddresses
– 允许 Amazon VPC CNI 插件执行操作,例如为 Pods 预调配弹性网络接口和 IP 地址,以便为在 Amazon EKS 中运行的应用程序提供联网。 -
ec2
读取操作 – 允许 Amazon VPC CNI 插件执行操作,例如描述实例和子网,以查看您的 Amazon VPC 子网中的免费 IP 地址数量。VPC CNI 可以使用每个子网中的免费 IP 地址来选择空闲 IP 地址最多的子网,以便在创建弹性网络接口时使用。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKS_CNI_Policy。
Amazon托管策略:AmazonEKSClusterPolicy
您可以将 AmazonEKSClusterPolicy
附加到 IAM 实体。在创建集群之前,您必须拥有附加了此策略的集群 IAM 角色。由 Amazon EKS 托管的 Kubernetes 集群会代表您调用其他 Amazon 服务。它们这样做的目的是为了管理您与服务一起使用的资源。
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
autoscaling
– 读取和更新自动扩缩组的配置。Amazon EKS 不使用这些权限,但它们保留在策略中,以确保向后兼容。 -
ec2
– 使用与 Amazon EC2 节点关联的卷和网络资源执行工作。此为必需操作,以便 Kubernetes 控制面板可以将实例加入到集群,并动态预置和管理 Kubernetes 持久卷请求的 Amazon EBS 卷。 -
elasticloadbalancing
– 使用 Elastic Load Balancer 并将节点添加到其中作为目标。此为必需操作,以便 Kubernetes 控制面板能够动态预置 Kubernetes 服务请求的 Elastic Load Balancer。 -
iam
– 创建服务相关角色。此为必需操作,以便 Kubernetes 控制面板能够动态预置 Kubernetes 服务请求的 Elastic Load Balancer。 -
kms
– 从 Amazon KMS 读取密钥。这对于 Kubernetes 控制面板是必需的,以支持etcd
中存储的 Kubernetes 密钥的密钥加密。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSClusterPolicy。
Amazon托管策略:AmazonEKSFargatePodExecutionRolePolicy
您可以将 AmazonEKSFargatePodExecutionRolePolicy
附加到 IAM 实体。在创建 Fargate 配置文件之前,您必须创建 Fargate Pod 执行角色并将此策略附加到其上。有关更多信息,请参阅第 2 步:创建 Fargate Pod 执行角色 和定义启动时将使用 Amazon Fargate 的Pods。
此策略向该角色授予权限,以提供对必须在 Fargate 上运行 Amazon EKS Pods 的其他 Amazon 服务资源的访问权限。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
ecr
– 允许在 Fargate 上运行的容器组(pod)提取存储在 Amazon ECR 中的容器镜像。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSFargatePodExecutionRolePolicy。
Amazon托管策略:AmazonEKSForFargateServiceRolePolicy
您不能将 AmazonEKSForFargateServiceRolePolicy
附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 AWSServiceRoleforAmazonEKSForFargate
。
此策略授予 Amazon EKS 运行 Fargate 任务所必要的权限。仅当您具有 Fargate 节点时,才会使用此策略。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
-
ec2
– 创建和删除弹性网络接口,并描述弹性网络接口和资源。此为必需操作,以便 Amazon EKS Fargate 服务可以配置 Fargate 容器组(pod)所需的 VPC 联网。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSForFargateServiceRolePolicy。
Amazon 托管策略:AmazonEKSNetworkingPolicy
您可以将 AmazonEKSNetworkingPolicy
附加到 IAM 实体。您可以将此策略附加到您的集群 IAM 角色,以扩展 EKS 可以在您的账户中管理的资源。
该策略旨在授予 Amazon EKS 创建和管理 EKS 集群网络接口的必要权限,从而允许控制面板和 Worker 节点正常通信和运行。
权限详细信息
此策略授予以下权限以允许 Amazon EKS 管理集群的网络接口:
-
ec2
网络接口权限:-
ec2:CreateNetworkInterface
– 允许创建 EC2 网络接口。 -
该策略包括一些条件,用于将此权限的使用限制在标有 EKS 集群名称和 Kubernetes CNI 节点名称的网络接口。
-
ec2:CreateTags
– 允许向CreateNetworkInterface
操作创建的网络接口添加标签。
-
-
ec2
网络接口管理权限:-
ec2:AttachNetworkInterface
、ec2:DetachNetworkInterface
– 允许将网络接口连接和分离到 EC2 实例。 -
ec2:UnassignPrivateIpAddresses
、ec2:UnassignIpv6Addresses
、ec2:AssignPrivateIpAddresses
、ec2:AssignIpv6Addresses
– 允许管理网络接口的 IP 地址分配。 -
这些权限仅限于标有 EKS 集群名称的网络接口。
-
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSNetworkingPolicy。
Amazon托管策略:AmazonEKSServicePolicy
您可以将 AmazonEKSServicePolicy
附加到 IAM 实体。在 2020 年 4 月 16 日之前创建的集群需要您创建 IAM 角色并向其附加此策略。在 2020 年 4 月 16 日或之后创建的集群无需您创建角色,也不需要您分配此策略。当您使用具有 iam:CreateServiceLinkedRole
权限的 IAM 主体创建集群时,将会自动为您创建 AWSServiceRoleforAmazonEKS 服务相关角色。服务相关角色附加了托管策略:AmazonEKSServiceRolePolicy。
此策略允许 Amazon EKS 创建和管理运行 Amazon EKS 集群所需的资源。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
-
eks
– 启动更新后,更新您的集群的 Kubernetes 版本。Amazon EKS 不使用此权限,但其仍保留在策略中,以确保向后兼容。 -
ec2
– 使用弹性网络接口和其它网络资源和标签。此为必需操作,以便 Amazon EKS 配置联网,促进节点与 Kubernetes 控制面板之间的通信。阅读有关安全组的信息。更新安全组上的标签。 -
route53
– 将 VPC 与托管区域关联。此为必需操作,以便 Amazon EKS 为 Kubernetes 集群 API 服务器启用私有端点联网。 -
logs
– 录入事件。此为必需操作,这样 Amazon EKS 就可以将 Kubernetes 控制面板日志发送到 CloudWatch。 -
iam
– 创建服务相关角色。此为必需操作,以便 Amazon EKS 可以代表您创建 Amazon EKS 的服务相关角色权限 服务相关角色。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSServicePolicy。
Amazon托管策略:AmazonEKSServiceRolePolicy
您不能将 AmazonEKSServiceRolePolicy
附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 Amazon EKS 的服务相关角色权限。当您使用具有 iam:CreateServiceLinkedRole
权限的 IAM 主体创建集群时,将会自动为您创建 AWSServiceRoleforAmazonEKS 服务相关角色,而且此策略会附加到该角色。
此策略允许服务相关角色代表您调用Amazon服务。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限。
-
ec2
– 创建和描述弹性网络接口和 Amazon EC2 实例、集群安全组及创建集群所需的 VPC。有关更多信息,请参阅 查看集群的 Amazon EKS 安全组要求。阅读有关安全组的信息。更新安全组上的标签。 -
iam
– 列出附加到 IAM 角色的所有托管策略。此为必需操作,以便 Amazon EKS 能够列出和验证创建集群所需的所有托管策略和权限。 -
将 VPC 与托管区关联 – 此为必需操作,以便 Amazon EKS 为 Kubernetes 集群 API 服务器启用私有端点联网。
-
录入事件 – 此为必需操作,这样 Amazon EKS 就可以将 Kubernetes 控制面板日志发送到 CloudWatch。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSServiceRolePolicy。
Amazon托管策略:AmazonEKSVPCResourceController
您可以将 AmazonEKSVPCResourceController
策略附加到 IAM 身份。如果您使用适用于容器组(pod)的安全组,您必须将此策略附加到您的 Amazon EKS 集群 IAM 角色,以便其代表您执行操作。
此策略授予集群角色管理弹性网络接口和节点 IP 地址的权限。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
ec2
– 管理弹性网络接口和 IP 地址,以支持 Pod 安全组和 Windows 节点。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSVPCResourceController。
Amazon托管策略:AmazonEKSWorkerNodePolicy
您可以将 AmazonEKSWorkerNodePolicy
附加到 IAM 实体。您必须将此策略附加到您在创建允许 Amazon EKS 代表您执行操作的 Amazon EC2 节点时指定的节点 IAM 角色。如果您使用 eksctl
创建节点组,则其会创建节点 IAM 角色并自动将此策略附加到角色。
此策略授予 Amazon EKS Amazon EC2 节点连接到 Amazon EKS 集群的权限。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
ec2
– 读取实例卷和网络信息。此为必需操作,以便 Kubernetes 节点能够描述有关节点加入 Amazon EKS 集群所需的 Amazon EC2 资源的信息。 -
eks
– 可选地将集群描述为节点引导启动的一部分。 -
eks-auth:AssumeRoleForPodIdentity
– 允许检索节点上 EKS 工作负载的凭证。需要执行此操作 EKS 容器组身份才能正常运行。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSWorkerNodePolicy。
Amazon 托管策略:AmazonEKSWorkerNodeMinimalPolicy
您可以将 AmazonEKSWorkerNodeMinimalPolicy 附加到您的 IAM 实体。您可以将此策略附加到您在创建允许 Amazon EKS 代表您执行操作的 Amazon EC2 节点时指定的节点 IAM 角色。
此策略授予 Amazon EKS Amazon EC2 节点连接到 Amazon EKS 集群的权限。与 AmazonEKSWorkerNodePolicy 相比,此策略的权限较少。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
eks-auth:AssumeRoleForPodIdentity
– 允许检索节点上 EKS 工作负载的凭证。需要执行此操作 EKS 容器组身份才能正常运行。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSWorkerNodePolicy。
Amazon托管策略:AWSServiceRoleForAmazonEKSNodegroup
您不能将 AWSServiceRoleForAmazonEKSNodegroup
附加到自己的 IAM 实体。将此策略附加到允许 Amazon EKS 代表您执行操作的服务相关角色。有关更多信息,请参阅 Amazon EKS 的服务相关角色权限。
此策略授予 AWSServiceRoleForAmazonEKSNodegroup
角色权限,允许其在您的账户中创建和管理 Amazon EC2 节点组。
权限详细信息
此策略包含允许 Amazon EKS 完成以下任务的以下权限:
-
ec2
– 与安全组、标签、容量预留和启动模板结合使用。Amazon EKS 托管式节点组需要此功能才能启用远程访问配置和描述可在托管式节点组中使用的容量预留。此外,Amazon EKS 托管节点组会代表您创建启动模板。这样做的目的是配置为每个托管节点组提供支持的 Amazon EC2 Auto Scaling 组。 -
iam
– 创建服务相关角色并传递角色。这是 Amazon EKS 托管节点组管理创建托管节点组时传递的角色的实例配置文件所必需的。此实例配置文件由作为托管节点组的一部分启动的 Amazon EC2 实例使用。Amazon EKS 需要为其他服务(如 Amazon EC2 Auto Scaling 组)创建服务相关角色。这些权限用于创建托管节点组。 -
autoscaling
– 使用安全自动扩缩组。这是 Amazon EKS 托管节点组管理支持每个托管节点组的 Amazon EC2 Auto Scaling 组所必需的。它还用于支持一些功能,例如,在节点组更新期间终止或回收节点时移出 Pods。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AWSServiceRoleForAmazonEKSNodegroup。
Amazon 托管策略:AmazonEBSCSIDriverPolicy
AmazonEBSCSIDriverPolicy
策略允许 Amazon EBS Container Storage Interface (CSI) 驱动程序代表您创建、修改、附加、分离和删除卷。它还授予 EBS CSI 驱动程序创建和删除快照以及列出实例、卷和快照的权限。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEBSCSIDriverServiceRolePolicy。
Amazon 托管式策略:AmazonEFSCSIDriverPolicy
AmazonEFSCSIDriverPolicy
策略允许 Amazon EFS 容器存储接口(CSI)代表您创建和删除接入点。该策略还将向 Amazon EFS CSI 驱动程序授予列出您的接入点文件系统、挂载目标和 Amazon EC2 可用区的权限。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEFSCSIDriverServiceRolePolicy。
Amazon 托管策略:AmazonEKSLocalOutpostClusterPolicy
您可以将此策略附加到 IAM 实体。在创建本地集群之前,您必须将此策略附加到您的集群角色。由 Amazon EKS 托管的 Kubernetes 集群会代表您调用其他 Amazon 服务。它们这样做的目的是为了管理您与服务一起使用的资源。
AmazonEKSLocalOutpostClusterPolicy
包含以下权限:
-
ec2
– Amazon EC2 实例作为控制面板实例成功加入集群所需的权限。 -
ssm
– 允许通向控制面板实例的 Amazon EC2 Systems Manager 连接,Amazon EKS 使用该连接与您账户中的本地集群通信并对其进行管理。 -
logs
– 允许实例将日志推送到 Amazon CloudWatch。 -
secretsmanager
– 允许实例安全地从 Amazon Secrets Manager 中获取和删除控制面板实例的引导数据。 -
ecr
– 允许 Pods 和在控制面板实例上运行的容器拉取存储在 Amazon Elastic Container Registry 中的容器映像。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSLocalOutpostClusterPolicy。
Amazon 托管策略:AmazonEKSLocalOutpostServiceRolePolicy
您不能将此策略附加到您的 IAM 实体。当您使用具有 iam:CreateServiceLinkedRole
权限的 IAM 主体创建集群时,Amazon EKS 将自动为您创建 AWSServiceRoleforAmazonEKSLocalOutpost 服务相关角色,并将此策略附加到该角色。此策略允许该服务相关角色代表您为本地集群调用 Amazon 服务。
AmazonEKSLocalOutpostServiceRolePolicy
包含以下权限:
-
ec2
– 允许 Amazon EKS 使用安全、网络和其它资源,成功启动和管理您的账户中的控制面板实例。 -
ssm
– 允许通向控制面板实例的 Amazon EC2 Systems Manager 连接,Amazon EKS 使用该连接与您账户中的本地集群通信并对其进行管理。 -
iam
– 允许 Amazon EKS 管理与控制面板实例关联的实例配置文件。 -
secretsmanager
– 允许 Amazon EKS 将控制面板实例的引导数据放入 Amazon Secrets Manager,以便能在实例引导期间安全地引用它。 -
outposts
– 允许 Amazon EKS 从您的账户中获取 Outpost 信息,以便在 Outpost 中成功启动本地集群。
要查看 JSON 策略文档的最新版本,请参阅《Amazon 托管式策略参考指南》中的 AmazonEKSLocalOutpostServiceRolePolicy。
Amazon托管策略的 Amazon EKS 更新
查看有关 Amazon EKS(自从其开始跟踪更新更改以来)的Amazon托管策略的更新的详细信息。有关此页面更改的自动提示,请订阅 Amazon EKS 文档历史记录页面上的 RSS 源。
更改 | 描述 | 日期 |
---|---|---|
Amazon 引入了 |
2024 年 10 月 28 日 |
|
增加了对 |
添加了 |
2024 年 10 月 10 日 |
AWS 引入了 |
2024 年 10 月 3 日 |
|
已将权限添加至 AWSServiceRoleForAmazonEKSNodegroup。 |
添加了 |
2024 年 8 月 21 日 |
已将权限添加至 AWSServiceRoleForAmazonEKSNodegroup。 |
增加了 |
2024 年 6 月 27 日 |
AmazonEKS_CNI_Policy – 更新到现有策略 |
Amazon EKS 添加了新的 |
2024 年 3 月 4 日 |
AmazonEKSWorkerNodePolicy:更新现有策略 |
Amazon EKS 添加了新的权限以允许 EKS 容器组身份。Amazon EKS 容器组身份代理使用节点角色。 |
2023 年 11 月 26 日 |
Amazon 引入了 |
2023 年 7 月 26 日 |
|
已将权限添加至 AmazonEKSClusterPolicy。 |
增加了 |
2023 年 2 月 7 日 |
更新了 AmazonEBSCSIDriverPolicy 中的策略条件。 |
删除了 |
2022 年 11 月 17 日 |
添加了对 AmazonEKSLocalOutpostServiceRolePolicy 的权限。 |
添加了 |
2022 年 10 月 24 日 |
更新了 AmazonEKSLocalOutpostClusterPolicy 中的 Amazon Elastic Container Registry 权限。 |
将操作 |
2022 年 10 月 20 日 |
将权限添加到了 AmazonEKSLocalOutpostClusterPolicy。 |
添加了 |
2022 年 8 月 31 日 |
Amazon 引入了 |
2022 年 8 月 24 日 |
|
Amazon 引入了 |
2022 年 8 月 23 日 |
|
Amazon 引入了 |
2022 年 4 月 22 日 |
|
已添加权限到 AmazonEKSWorkerNodePolicy。 |
增加了 |
2022 年 3 月 21 日 |
已将权限添加至 AWSServiceRoleForAmazonEKSNodegroup。 |
添加了 |
2021 年 12 月 13 日 |
已将权限添加至 AmazonEKSClusterPolicy。 |
添加了 |
2021 年 6 月 17 日 |
Amazon EKS 已开始跟踪更改。 |
Amazon EKS 开始跟踪其Amazon托管策略的更改。 |
2021 年 6 月 17 日 |