**帮助改进此页面** 

要帮助改进本用户指南，请选择位于每个页面右侧窗格中的**在 GitHub 上编辑此页面**链接。

# 向 Amazon 服务授予对 Kubernetes API 的写入权限
<a name="mutate-kubernetes-resources"></a>

## 所需的权限
<a name="mutate-kubernetes-resources-permissions"></a>

要使 Amazon 服务能够对您的 Amazon EKS 集群中的 Kubernetes 资源执行写入操作，您必须同时授予 `eks:AccessKubernetesApi` 和 `eks:MutateViaKubernetesApi` IAM 权限。

例如，Amazon SageMaker HyperPod 使用这些权限来启用 SageMaker AI Studio 的模型部署。有关更多信息，请参阅《Amazon SageMaker AI 开发人员指南》中的[设置可选的 JavaScript SDK 权限](https://docs.amazonaws.cn/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html#sagemaker-hyperpod-model-deployment-setup-optional-js)。

**重要**  
创建、更新和删除之类的写入操作需要这两种权限，如果缺少任一权限，则写入操作将失败。

## CloudTrail 可见性
<a name="cloudtrail-visibility"></a>

在对 Kubernetes 资源执行写入操作时，您会在 CloudTrail 日志中看到特定的操作名称：
+  `createKubernetesObject`：在创建新资源时
+  `updateKubernetesObject`：在修改现有资源时
+  `deleteKubernetesObject`：在移除资源时

这些 CloudTrail 事件会提供有关您对 Kubernetes 资源所做的所有修改的审计跟踪记录。

**注意**  
这些操作名称将显示在 CloudTrail 日志中，仅用于审计目的。它们不是 IAM 操作，不能在 IAM 策略声明中使用。要通过 IAM 策略控制对 Kubernetes 资源的写入权限，请使用 [所需的权限](#mutate-kubernetes-resources-permissions) 部分中所示的 `eks:MutateViaKubernetesApi` 权限。