**Ayude a mejorar esta página** 

Para contribuir a esta guía del usuario, elija el enlace **Edit this page on GitHub** que se encuentra en el panel derecho de cada página.

# Políticas administradas de AWS para Amazon Elastic Kubernetes Service
<a name="security-iam-awsmanpol"></a>

Una política administrada de AWS es una política independiente que AWS crea y administra. Las políticas administradas de AWS se diseñan para ofrecer permisos para muchos casos de uso comunes, por lo que puede empezar a asignar permisos a los usuarios, grupos y roles.

Tenga en cuenta que es posible que las políticas administradas de AWS no concedan permisos de privilegio mínimo para los casos de uso concretos, ya que están disponibles para que las utilicen todos los clientes de AWS. Se recomienda reducir los permisos al definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que sean específicas para sus casos de uso.

No puede cambiar los permisos definidos en las políticas administradas AWS. Si AWS actualiza los permisos definidos en un política administrada de AWS, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está adjunta la política. Lo más probable es que AWS actualice una política administrada de AWS cuando se lance un nuevo servicio AWS o las operaciones de la API nuevas estén disponibles para los servicios existentes.

Para obtener más información, consulte [Políticas administradas de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

## Política administrada de AWS: AmazonEKS\_CNI\_Policy
<a name="security-iam-awsmanpol-amazoneks-cni-policy"></a>

No puede adjuntar la `AmazonEKS_CNI_Policy` a sus entidades de IAM. Antes de crear un grupo de nodos de Amazon EC2, esta política debe estar asociada al [rol de IAM del nodo](create-node-role.md) o a un rol de IAM utilizado de forma específica por el complemento CNI de Amazon VPC para Kubernetes. Esto es para que pueda realizar acciones en su nombre. Recomendamos que adjunte la política a un rol que solo utilice el complemento. Para obtener más información, consulte [Asignación de direcciones IP a pods con CNI de Amazon VPC](managing-vpc-cni.md) y [Configuración del complemento de CNI de Amazon VPC para utilizar IRSA](cni-iam-role.md).

 **Detalles sobre los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  **`ec2:*NetworkInterface` y `ec2:*PrivateIpAddresses`:** permite que el complemento CNI de Amazon VPC lleve a cabo acciones como el aprovisionamiento de interfaces de red elásticas y direcciones IP de los pods a fin de proporcionar redes para aplicaciones que se ejecutan en Amazon EKS.
+  **Acciones de lectura `ec2`**: permite que el complemento CNI de Amazon VPC realice acciones como describir instancias y subredes para ver la cantidad de direcciones IP libres en las subredes de Amazon VPC. La CNI de la VPC puede usar las direcciones IP libres de cada subred para seleccionar las subredes con la mayor cantidad de direcciones IP libres y utilizarlas al crear una interfaz de red elástica.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKS\_CNI\_Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html#AmazonEKS_CNI_Policy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSClusterPolicy
<a name="security-iam-awsmanpol-amazoneksclusterpolicy"></a>

Puede adjuntar la `AmazonEKSClusterPolicy` a sus entidades de IAM. Antes de crear un clúster, debe tener un [rol de IAM de clúster](cluster-iam-role.md) con esta política adjunta. Los clústeres de Kubernetes administrados por Amazon EKS realizan llamadas a otros servicios de AWS en su nombre. Lo hacen para administrar los recursos que utiliza con el servicio.

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  ** `autoscaling` **: leer y actualizar la configuración de un grupo de escalado automático. Amazon EKS no utiliza estos permisos, pero permanecen en la política de compatibilidad con versiones anteriores.
+  ** `ec2` **: trabajar con volúmenes y recursos de red asociados a nodos de Amazon EC2. Esto es necesario para que el plano de control de Kubernetes pueda unir instancias a un clúster y aprovisionar y administrar de forma dinámica los volúmenes de Amazon EBS solicitados por los volúmenes persistentes de Kubernetes.
+  ** `ec2` **: eliminar las interfaces de red elásticas creadas por la CNI de la VPC. Esto es necesario para que EKS pueda limpiar las interfaces de red elásticas que se excluyen si la CNI de la VPC se cierra inesperadamente.
+  ** `elasticloadbalancing` ** – trabaja con los Elastic Load Balancer y les agrega nodos como destinos. Esto es necesario para que el plano de control de Kubernetes pueda aprovisionar de forma dinámica los Elastic Load Balancer solicitados por los servicios de Kubernetes.
+  ** `iam` ** – crea un rol vinculado a servicios. Esto es necesario para que el plano de control de Kubernetes pueda aprovisionar de forma dinámica los equilibradores de carga elásticos solicitados por los servicios de Kubernetes.
+  ** `kms` **: leer una clave de AWS KMS. Esto es necesario para que el plano de control de Kubernetes admita el [cifrado de secretos](https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/) de Kubernetes almacenados en `etcd`.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html#AmazonEKSClusterPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSDashboardConsoleReadOnly
<a name="security-iam-awsmanpol-amazoneksdashboardconsolereadonly"></a>

Puede adjuntar `AmazonEKSDashboardConsoleReadOnly` a sus entidades de IAM.

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  **`eks`**: acceso de solo lectura a los datos, recursos e información sobre las versiones de los clústeres del panel de control de EKS. Esto permite ver las métricas relacionadas con EKS y los detalles de configuración del clúster.
+  **`organizations`**: acceso de solo lectura a la información de AWS Organizations, que incluye:
  + Ver detalles de la organización y acceso a servicios
  + Enumerar las raíces organizativas, las cuentas y las unidades organizativas
  + Ver la estructura de la organización

Para consultar la versión más reciente del documento de la política de JSON, consulte [AmazonEKSDashboardServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardConsoleReadOnly.html#AmazonEKSDashboardConsoleReadOnly-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSFargatePodExecutionRolePolicy
<a name="security-iam-awsmanpol-amazoneksfargatepodexecutionrolepolicy"></a>

Puede adjuntar la `AmazonEKSFargatePodExecutionRolePolicy` a sus entidades de IAM. Antes de crear un perfil de Fargate, debe crear un rol de ejecución de pod de Fargate y adjuntarle esta política. Para obtener más información, consulte [Paso 2: creación de un rol de ejecución de pods de Fargate](fargate-getting-started.md#fargate-sg-pod-execution-role) y [Cómo definir los pods que deben lanzarse en AWS Fargate](fargate-profile.md).

Esta política concede al rol los permisos que proporcionan acceso a otros recursos de servicios de AWS necesarios para ejecutar pods de Amazon EKS en Fargate.

 **Detalles sobre los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  ** `ecr` ** – permite que los pods que se ejecutan en Fargate extraigan imágenes del contenedor almacenadas en Amazon ECR.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSFargatePodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html#AmazonEKSFargatePodExecutionRolePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSConnectorServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonEKSConnectorServiceRolePolicy"></a>

No puede asociar `AmazonEKSConnectorServiceRolePolicy` a sus entidades IAM. Esta política se encuentra adjunta a un rol vinculado a servicios que permite a Amazon EKS realizar acciones en su nombre. Para obtener más información, consulte [Uso de roles para conectar un clúster de Kubernetes a Amazon EKS](using-service-linked-roles-eks-connector.md).

El rol permite a Amazon EKS conectar clústeres de Kubernetes. Las políticas adjuntas permiten que el rol administre los recursos necesarios para conectarse al clúster de Kubernetes registrado.

 **Detalles de los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas.
+  **`SSM Management`**: cree, describa y elimine activaciones de SSM y anule el registro de las instancias administradas. Esto permite las operaciones básicas de Systems Manager.
+  **`Session Management`**: inicie sesiones de SSM específicamente para clústeres de EKS y ejecute comandos no interactivos mediante el documento AmazonEKS.
+  **`IAM Role Passing`**: transfiera roles de IAM específicamente al servicio de SSM, controlado por una condición que restringe los roles transferidos a `ssm.amazonaws.com`.
+  **`EventBridge Rules`**: cree reglas y destinos de EventBridge, pero solo cuando los administre `eks-connector.amazonaws.com`. Las reglas están limitadas específicamente para que AWS SSM sea el origen del evento.

Para consultar la versión más reciente del documento de política de JSON, consulte [AmazonEKSConnectorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSConnectorServiceRolePolicy.html) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSForFargateServiceRolePolicy
<a name="security-iam-awsmanpol-amazoneksforfargateservicerolepolicy"></a>

No puede asociar `AmazonEKSForFargateServiceRolePolicy` a sus entidades IAM. Esta política se encuentra adjunta a un rol vinculado a servicios que permite a Amazon EKS realizar acciones en su nombre. Para obtener más información, consulte `AWSServiceRoleforAmazonEKSForFargate`.

Esta política concede los permisos necesarios a Amazon EKS para ejecutar tareas de Fargate. Solo se utiliza la política si cuenta con nodos de Fargate.

 **Detalles de los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas.
+  ** `ec2` ** – crea y elimina interfaces de red elásticas y describe los recursos y las interfaces de red elásticas. Esto es necesario a fin de que el servicio Fargate de Amazon EKS pueda configurar las redes VPC necesarias para los pods de Fargate.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSForFargateServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSForFargateServiceRolePolicy.html#AmazonEKSForFargateServiceRolePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSComputePolicy
<a name="security-iam-awsmanpol-AmazonEKSComputePolicy"></a>

Puede adjuntar `AmazonEKSComputePolicy` a sus entidades de IAM. Puede adjuntar esta política al [rol de IAM de su clúster](cluster-iam-role.md) para ampliar los recursos que Amazon EKS puede administrar en su cuenta.

Esta política concede los permisos necesarios para que Amazon EKS cree y administre instancias de EC2 para el clúster de EKS, y los permisos de IAM necesarios para configurar EC2. Además, esta política otorga permisos para que Amazon EKS cree el rol vinculado al servicio EC2 Spot en su nombre.

### Detalles sobre los permisos
<a name="_permissions_details"></a>

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  ** `ec2` Permisos de**:
  +  `ec2:CreateFleet` y `ec2:RunInstances`: permite crear instancias de EC2 y utilizar recursos específicos de EC2 (imágenes, grupos de seguridad, subredes, reserva de capacidad bajo demanda, grupos de ubicación) para nodos de clúster de EKS.
  +  `ec2:CreateLaunchTemplate`: permite crear plantillas de lanzamiento de EC2 para los nodos de clústeres de EKS.
  + La política también incluye condiciones para limitar el uso de estos permisos EC2 únicamente para los recursos etiquetados con el nombre del clúster de EKS y otras etiquetas relevantes.
  +  `ec2:CreateTags`: permite agregar etiquetas a los recursos de EC2 creados por las acciones `CreateFleet`, `RunInstances` y `CreateLaunchTemplate`.
+  ** `iam` Permisos de**:
  +  `iam:AddRoleToInstanceProfile`: permite agregar un rol de IAM al perfil de instancia de computación de EKS.
  +  `iam:PassRole`: permite transmitir los roles de IAM necesarios al servicio de EC2.

Para ver la versión más reciente del documento de política de JSON, consulte [AmazonEKSComputePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSComputePolicy.html#AmazonEKSComputePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSNetworkingPolicy
<a name="security-iam-awsmanpol-AmazonEKSNetworkingPolicy"></a>

Puede adjuntar `AmazonEKSNetworkingPolicy` a sus entidades de IAM. Puede adjuntar esta política al [rol de IAM de su clúster](cluster-iam-role.md) para ampliar los recursos que Amazon EKS puede administrar en su cuenta.

Esta política está diseñada para conceder los permisos necesarios para que Amazon EKS cree y administre las interfaces de red para el clúster de Amazon EKS, lo que permite que el plano de control y los nodos de trabajo se comuniquen y funcionen correctamente.

### Detalles sobre los permisos
<a name="_permissions_details_2"></a>

Esta política concede los siguientes permisos para permitir que Amazon EKS administre las interfaces de red del clúster:
+  ** `ec2` Permisos de interfaces de red de**:
  +  `ec2:CreateNetworkInterface`: permite crear interfaces de red de EC2.
  + La política incluye condiciones para restringir el uso de este permiso a las interfaces de red etiquetadas con el nombre del clúster de EKS y el nombre del nodo de CNI de Kubernetes.
  +  `ec2:CreateTags`: permite añadir etiquetas a las interfaces de red creadas por la acción `CreateNetworkInterface`.
+  ** `ec2` Permisos de administración de la interfaz de red de**:
  +  `ec2:AttachNetworkInterface`, `ec2:ModifyNetworkInterfaceAttribute`, `ec2:DetachNetworkInterface`: permite asociar y modificar atributos de interfaz de red y desconectar interfaces de red en instancias de EC2.
  +  `ec2:UnassignPrivateIpAddresses`, `ec2:UnassignIpv6Addresses`, `ec2:AssignPrivateIpAddresses`, `ec2:AssignIpv6Addresses`: permiten administrar las asignaciones de dirección IP de las interfaces de red.
  + Estos permisos están restringidos a las interfaces de red etiquetadas con el nombre del clúster de EKS.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSNetworkingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSNetworkingPolicy.html#AmazonEKSNetworkingPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSBlockStoragePolicy
<a name="security-iam-awsmanpol-AmazonEKSBlockStoragePolicy"></a>

Puede adjuntar `AmazonEKSBlockStoragePolicy` a sus entidades de IAM. Puede adjuntar esta política al [rol de IAM de su clúster](cluster-iam-role.md) para ampliar los recursos que Amazon EKS puede administrar en su cuenta.

Esta política concede los permisos necesarios para que Amazon EKS cree, administre y mantenga volúmenes de EC2 e instantáneas para el clúster de EKS, lo que permite que el plano de control y los nodos de trabajo aprovisionen y utilicen almacenamiento persistente según lo requieran las cargas de trabajo de Kubernetes.

### Detalles sobre los permisos
<a name="_permissions_details_3"></a>

Esta política de IAM concede los siguientes permisos para permitir que Amazon EKS administre volúmenes e instantáneas de EC2:
+  ** `ec2` Permisos de administración de volúmenes**:
  +  `ec2:AttachVolume`, `ec2:DetachVolume`, `ec2:ModifyVolume`, `ec2:EnableFastSnapshotRestores`: permite asociar, desasociar, modificar y habilitar restauraciones rápidas de instantáneas para volúmenes de EC2.
  + Estos permisos están restringidos a los volúmenes etiquetados con el nombre del clúster de EKS.
  +  `ec2:CreateTags`: permite agregar etiquetas a los volúmenes de EC2 y a las instantáneas creadas por las acciones `CreateSnapshot` y `CreateVolume`.
+  ** `ec2` Permisos de creación de volúmenes**:
  +  `ec2:CreateVolume`: permite crear nuevos volúmenes de EC2.
  + La política incluye condiciones para restringir el uso de este permiso a volúmenes etiquetados con el nombre del clúster de EKS y otras etiquetas relevantes.
  +  `ec2:CreateSnapshot`: permite crear nuevas instantáneas de volúmenes de EC2.
  + La política incluye condiciones para restringir el uso de este permiso a las instantáneas etiquetadas con el nombre del clúster de EKS y otras etiquetas relevantes.

Para consultar la versión más reciente del documento de política de JSON, consulte [AmazonEKSBlockStoragePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSBlockStoragePolicy.html#AmazonEKSBlockStoragePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSLoadBalancingPolicy
<a name="security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy"></a>

Puede adjuntar `AmazonEKSLoadBalancingPolicy` a sus entidades de IAM. Puede adjuntar esta política al [rol de IAM de su clúster](cluster-iam-role.md) para ampliar los recursos que Amazon EKS puede administrar en su cuenta.

Esta política de IAM concede los permisos necesarios para que Amazon EKS trabaje con varios servicios de AWS para administrar los equilibradores de carga elásticos (ELB) y los recursos relacionados.

### Detalles sobre los permisos
<a name="_permissions_details_4"></a>

Los permisos clave concedidos por esta política son:
+  ** `elasticloadbalancing` **: permite crear, modificar y administrar equilibradores de carga elásticos y grupos de destino. Esto incluye permisos para crear, actualizar y eliminar equilibradores de carga, grupos de destino, agentes de escucha y reglas.
+  ** `ec2` **: permite crear y administrar grupos de seguridad necesarios para que el plano de control de Kubernetes pueda unir instancias a un clúster y administrar los volúmenes de Amazon EBS. Además, permite describir y enumerar los recursos de EC2, como instancias, VPC, subredes, grupos de seguridad y otros recursos de red.
+  ** `iam` **: permite crear un rol vinculado al servicio para Elastic Load Balancing, que es necesario para que el plano de control de Kubernetes aprovisione los equilibradores de carga elásticos de forma dinámica.
+  **`kms`**: permite leer una clave de AWS KMS, que es necesaria para que el plano de control de Kubernetes admita el cifrado de los secretos de Kubernetes almacenados en etcd.
+  ** `wafv2` ** y ** `shield` **: permite asociar y desasociar ACL web y crear/eliminar protecciones de AWS Shield para los equilibradores de carga elásticos.
+  ** `cognito-idp` **, ** `acm` **, y ** `elasticloadbalancing` **: concede permisos para describir clientes de grupos de usuarios, enumerar y describir certificados y describir grupos de destino, que son necesarios para que el plano de control de Kubernetes administre los equilibradores de carga elásticos.

La política también incluye varias comprobaciones de condiciones para garantizar que los permisos se circunscriben al clúster de EKS específico que se administra, mediante la etiqueta `eks:eks-cluster-name`.

Para consultar la versión más reciente del documento de política JSON, consulte [AmazonEKSLoadBalancingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLoadBalancingPolicy.html#AmazonEKSLoadBalancingPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSMCPReadOnlyAccess
<a name="security-iam-awsmanpol-amazoneksmcpreadonlyaccess"></a>

Puede adjuntar `AmazonEKSMCPReadOnlyAccess` a sus entidades de IAM. Esta política proporciona acceso de solo lectura a los recursos de Amazon EKS y los servicios de AWS relacionados, lo que permite al servidor Protocolo de contexto para modelos (MCP) de Amazon EKS llevar a cabo operaciones de observabilidad y solución de problemas sin hacer ninguna modificación en la infraestructura.

 **Detalles de los permisos** 

Esta política incluye los siguientes permisos que permiten a las entidades principales completar las siguientes tareas:
+  **`eks`** permite a las entidades principales describir y enumerar los clústeres, los grupos de nodos, los complementos, las entradas de acceso y la información de EKS, así como acceder a la API de Kubernetes para operaciones de solo lectura.
+  **`iam`** permite a las entidades principales recuperar información sobre las políticas y los roles de IAM y sus archivos adjuntos para comprender los permisos asociados a los recursos de EKS.
+  **`ec2`** permite a las entidades principales describir las VPC, las subredes y las tablas de enrutamiento para comprender la configuración de red de los clústeres de EKS.
+  **`sts`** permite a las entidades principales recuperar la información de identidad del autor de la llamada con fines de autenticación y autorización.
+  **`logs`** permite a las entidades principales iniciar consultas y recuperar resultados de las consultas de Registros de CloudWatch para la solución de problemas y la supervisión.
+  **`cloudwatch`** permite a las entidades principales recuperar datos de métricas para supervisar el rendimiento de los clústeres y las cargas de trabajo.
+  **`eks-mcp`** permite a las entidades principales invocar operaciones de MCP y llamar a herramientas de solo lectura dentro del servidor MCP de Amazon EKS.

Para consultar la versión más reciente del documento de la política de JSON, consulte [AmazonEKSMCPReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSMCPReadOnlyAccess.html) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSServicePolicy
<a name="security-iam-awsmanpol-amazoneksservicepolicy"></a>

Puede adjuntar `AmazonEKSServicePolicy` a sus entidades de IAM. Los clústeres creados antes del 16 de abril de 2020 requerían que creara un rol de IAM y le adjuntara esta política. Los clústeres creados a partir del 16 de abril de 2020 no requieren que cree un rol ni que asigne esta política. Cuando crea un clúster mediante una entidad principal de IAM que tiene el permiso `iam:CreateServiceLinkedRole`, el rol vinculado a servicios [AWSServiceRoleforAmazonEKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) se crea de forma automática. El rol vinculado a servicios trae adjunta la [política administrada AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy).

Esta política permite a Amazon EKS crear y administrar los recursos necesarios para operar clústeres de Amazon EKS.

 **Detalles de los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas.
+  ** `eks` ** – actualiza la versión de Kubernetes de su clúster después de iniciar una actualización. Amazon EKS no utiliza este permiso, pero permanece en la política de compatibilidad con versiones anteriores.
+  ** `ec2` ** – trabaja con interfaces de red elásticas y otros recursos y etiquetas de red. Amazon EKS lo requiere para configurar redes que faciliten la comunicación entre nodos y el plano de control de Kubernetes. Obtenga información sobre los grupos de seguridad. Actualice las etiquetas de los grupos de seguridad.
+  ** `route53` ** – asocia una VPC con una zona alojada. Amazon EKS lo requiere a fin de habilitar las redes privadas de punto de conexión para su servidor de API de clúster de Kubernetes.
+  ** `logs` ** – registra eventos. Esto es necesario para que Amazon EKS pueda enviar registros de planos de control de Kubernetes a CloudWatch.
+  ** `iam` ** – crea un rol vinculado a servicios. Esto es necesario para que Amazon EKS can cree el rol vinculado al servicio [Permisos de roles vinculados a servicios para Amazon EKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) en su nombre.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html#AmazonEKSServicePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSServiceRolePolicy
<a name="security-iam-awsmanpol-amazoneksservicerolepolicy"></a>

No puede asociar `AmazonEKSServiceRolePolicy` a sus entidades IAM. Esta política se encuentra adjunta a un rol vinculado a servicios que permite a Amazon EKS realizar acciones en su nombre. Para obtener más información, consulte [Permisos de roles vinculados a servicios para Amazon EKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks). Al crear un clúster mediante una entidad principal de IAM que tiene el permiso `iam:CreateServiceLinkedRole`, el rol vinculado a servicios [AWSServiceRoleforAmazonEKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) se crea de forma automática en su nombre y se le asocia esta política.

Esta política permite al rol vinculado a servicios llamar a servicios de AWS en su nombre.

 **Detalles de los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas.
+  ** `ec2` **: cree y describa las interfaces de red elásticas y las instancias de Amazon EC2 y sus estados, el grupo de seguridad de clúster y la VPC necesarios para la creación de clústeres. Para obtener más información, consulte [Revisión de requisitos de grupos de seguridad de Amazon EKS para clústeres](sec-group-reqs.md). Obtenga información sobre los grupos de seguridad. Actualice las etiquetas de los grupos de seguridad. Lea información sobre las reservas de capacidad bajo demanda. Obtenga información sobre los grupos de ubicación. Lea la configuración de la VPC, que incluye las tablas de enrutamiento y las ACL de red, para detectar problemas de configuración como parte de la información sobre el clúster.
+  **Modo automático de `ec2`**: termine las instancias de EC2 creadas por el modo automático de EKS. Para obtener más información, consulte [Automatización de la infraestructura de clústeres con el modo automático de EKS](automode.md).
+  ** `iam` ** – enumera todas las políticas administradas que se asocian a un rol de IAM. Esto es necesario para que Amazon EKS pueda enumerar y validar todos los permisos y políticas administrados necesarios para crear un clúster.
+  **Asocie un VPC con una zona alojada**: Amazon EKS lo requiere a fin de habilitar las redes privadas de punto de conexión para su servidor de API de clúster de Kubernetes.
+  **Evento de registro**: esto es necesario para que Amazon EKS pueda enviar registros de planos de control de Kubernetes a CloudWatch.
+  **Métrica Put:** se necesita para que Amazon EKS pueda enviar registros del plano de control de Kubernetes a CloudWatch.
+  ** `eks` ** - administre las entradas y políticas de acceso al clúster, que permiten ejercer un control detallado sobre quién puede acceder a los recursos del EKS y las acciones pueden realizar. Esto incluye la asociación de políticas de acceso estándar para operaciones de computación, redes, equilibrio de carga y almacenamiento.
+  ** `elasticloadbalancing` ** - cree, administre y elimine los equilibradores de carga y sus componentes (agentes de escucha, grupos de destino, certificados) asociados a los clústeres de EKS. Consulte los atributos y el estado del equilibrador de carga.
+  **`events`**: cree y administre reglas de EventBridge para supervisar eventos de EC2 y AWS Health relacionados con clústeres de EKS, lo que permite dar una respuesta automatizada a los cambios en la infraestructura y a las alertas de estado.
+  ** `iam` **: administre los perfiles de instancia de EC2 con el prefijo “eks”, incluidos el listado, la creación, la eliminación y la asociación de roles, lo cual es necesario para la administración de nodos de EKS. Permite describir cualquier perfil de instancia para que los usuarios definan perfiles de instancia personalizados que sus nodos de trabajo puedan utilizar.
+  **`pricing`** **`shield`**: acceda a la información de precios de AWS y al estado de protección de Shield, lo que facilita la administración de costos y el acceso a características avanzadas de seguridad para los recursos de EKS.
+  **Limpieza de recursos**: elimine de forma segura los recursos etiquetados con EKS, incluidos volúmenes, instantáneas, plantillas de lanzamiento e interfaces de red durante las operaciones de limpieza del clúster.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServiceRolePolicy.html#AmazonEKSServiceRolePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSVPCResourceController
<a name="security-iam-awsmanpol-amazoneksvpcresourcecontroller"></a>

Puede asociar la política `AmazonEKSVPCResourceController` a las identidades de IAM. Si utiliza [grupos de seguridad de pods](security-groups-for-pods.md), debe asociar esta política a su [rol de IAM del clúster de Amazon EKS](cluster-iam-role.md) para realizar acciones en su nombre.

Esta política concede permisos al rol de clúster para administrar las interfaces de red elásticas y las direcciones IP de los nodos.

 **Detalles sobre los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  ** `ec2` ** – administra interfaces de red elásticas y direcciones IP para admitir grupos de seguridad de pods y nodos de Windows.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSVPCResourceController](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSVPCResourceController.html#AmazonEKSVPCResourceController-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSWorkerNodePolicy
<a name="security-iam-awsmanpol-amazoneksworkernodepolicy"></a>

No puede adjuntar la `AmazonEKSWorkerNodePolicy` a sus entidades de IAM. Debe asociar esta política a un [rol de IAM de nodo](create-node-role.md) que especifique al crear nodos de Amazon EC2 que permiten a Amazon EKS realizar acciones en su nombre. Si crea un grupo de nodos con `eksctl`, crea el rol de IAM de nodo y adjunta esta política al rol de forma automática.

Esta política concede permisos a los nodos de Amazon EC2 de Amazon EKS para conectarse a los clústeres de Amazon EKS.

 **Detalles sobre los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  ** `ec2` ** – lee el volumen de la instancia y la información de red. Esto es necesario para que los nodos de Kubernetes puedan describir información sobre los recursos de Amazon EC2 necesarios a fin de que el nodo se una al clúster de Amazon EKS.
+  ** `eks` ** – opcionalmente, describe el clúster como parte del arranque de nodos.
+  ** `eks-auth:AssumeRoleForPodIdentity` ** – permite la recuperación de credenciales para las cargas de trabajo de EKS en el nodo. Esto es necesario para que la Pod Identity de EKS funcione correctamente.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSWorkerNodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodePolicy.html#AmazonEKSWorkerNodePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada por AWS: AmazonEKSWorkerNodeMinimalPolicy
<a name="security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy"></a>

Puede vincular la política AmazonEKSWorkerNodeMinimalPolicy a sus entidades de IAM. Puede asociar esta política a un rol de IAM de nodo que especifique al crear nodos de Amazon EC2 que permiten a Amazon EKS realizar acciones en su nombre.

Esta política concede permisos a los nodos de Amazon EC2 de Amazon EKS para conectarse a los clústeres de Amazon EKS. Esta política tiene menos permisos en comparación con la política AmazonEKSWorkerNodePolicy.

 **Detalles sobre los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  `eks-auth:AssumeRoleForPodIdentity`: permite la recuperación de credenciales para las cargas de trabajo de EKS en el nodo. Esto es necesario para que la Pod Identity de EKS funcione correctamente.

Para consultar la versión más reciente del documento de política de JSON, consulte [AmazonEKSWorkerNodeMinimalPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodeMinimalPolicy.html#AmazonEKSWorkerNodeMinimalPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AWSServiceRoleForAmazonEKSNodegroup
<a name="security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup"></a>

No puede asociar `AWSServiceRoleForAmazonEKSNodegroup` a sus entidades IAM. Esta política se encuentra adjunta a un rol vinculado a servicios que permite a Amazon EKS realizar acciones en su nombre. Para obtener más información, consulte [Permisos de roles vinculados a servicios para Amazon EKS](using-service-linked-roles-eks-nodegroups.md#service-linked-role-permissions-eks-nodegroups).

Esta política otorga permisos de rol de `AWSServiceRoleForAmazonEKSNodegroup` que permiten crear y administrar grupos de nodos de Amazon EC2 en su cuenta.

 **Detalles sobre los permisos** 

Esta política incluye los siguientes permisos que permiten a Amazon EKS completar las siguientes tareas:
+  ** `ec2` ** – trabaja con grupos de seguridad, etiquetas, reservas de capacidad y plantillas de lanzamiento. Esto es necesario para que los grupos de nodos administrados por Amazon EKS habiliten la configuración de acceso remoto y describan las reservas de capacidad que se pueden usar en grupos de nodos administrados por Amazon EKS. Además, los grupos de nodos administrados por Amazon EKS crean una plantilla de lanzamiento en su nombre. Esto es para configurar el grupo de Amazon EC2 Auto Scaling que respalda cada grupo de nodos administrados.
+  ** `iam` ** – crea un rol vinculado a servicios y transfiere un rol. Los grupos de nodos administrados por Amazon EKS lo requieren para administrar los perfiles de instancias del rol que se transfiere al crear un grupo de nodos administrados. Las instancias de Amazon EC2 lanzadas como parte de un grupo de nodos administrados utilizan este perfil de instancias. Amazon EKS necesita crear roles vinculadas a servicios para otros servicios, como los grupos de Amazon EC2 Auto Scaling. Estos permisos se usan en la creación de un grupo de nodos administrados.
+  ** `autoscaling` ** – trabaja con grupos de escalado automático de seguridad. Los grupos de nodos administrados por Amazon EKS lo requieren para administrar el grupo de Amazon EC2 Auto Scaling que respalda cada grupo de nodos administrados. También se utiliza para admitir funcionalidades como la expulsión de pods cuando los nodos se terminan o se reciclan durante actualizaciones de grupos de nodos, así como para administrar grupos de reserva en caliente configurados en grupos de nodos administrados.

Para ver la versión más reciente del documento de política JSON, consulte [AWSServiceRoleForAmazonEKSNodegroup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForAmazonEKSNodegroup.html#AWSServiceRoleForAmazonEKSNodegroup-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSDashboardServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy"></a>

No puede asociar `AmazonEKSDashboardServiceRolePolicy` a sus entidades IAM. Esta política se encuentra adjunta a un rol vinculado a servicios que permite a Amazon EKS realizar acciones en su nombre. Para obtener más información, consulte [Permisos de roles vinculados a servicios para Amazon EKS](using-service-linked-roles-eks-dashboard.md#service-linked-role-permissions-eks-dashboard).

Esta política otorga al rol `AWSServiceRoleForAmazonEKSDashboard` permisos que le permiten ver información sobre la estructura y las cuentas de AWS Organizations.

 **Detalles de los permisos** 

Esta política incluye los siguientes permisos que permiten el acceso para completar las siguientes tareas:
+  **`organizations`**: vea información sobre la estructura y las cuentas de AWS Organizations. Esto incluye permisos para enumerar las cuentas de su organización, ver las unidades organizativas y las raíces, enumerar los administradores delegados, ver los servicios que tienen acceso a su organización y recuperar información detallada sobre su organización y sus cuentas.

Para consultar la versión más reciente del documento de política de JSON, consulte [AmazonEKSDashboardServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardServiceRolePolicy.html#AmazonEKSDashboardServiceRolePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEBSCSIDriverPolicy
<a name="security-iam-awsmanpol-amazonebscsidriverservicerolepolicy"></a>

**importante**  
Hay dos nuevas políticas de IAM administradas por AWS disponibles que ofrecen un alcance de permisos más restrictivo: [AmazonEBSCSIDriverPolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2) para el control basado en etiquetas o [AmazonEBSCSIDriverEKSClusterScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy) para el aislamiento por clúster. Si está interesado en realizar una migración, consulte [Migración de la política de controladores de CSI de EBS](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918).

La política `AmazonEBSCSIDriverPolicy` permite que el controlador Interfaz de almacenamiento de contenedores (CSI) de Amazon EBS cree, modifique, copie, asocie, desasocie y elimine volúmenes en su nombre. Esto incluye modificar las etiquetas de los volúmenes existentes y habilitar la restauración rápida de instantáneas (FSR) en los volúmenes de EBS. También concede al controlador EBS CSI permisos para crear, bloquear, restaurar y eliminar instantáneas, así como para enumerar sus instancias, volúmenes e instantáneas.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEBSCSIDriverServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html#AmazonEBSCSIDriverPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada por AWS: AmazonEBSCSIDriverPolicyV2
<a name="security-iam-awsmanpol-amazonebscsidriverpolicyv2"></a>

La política `AmazonEBSCSIDriverPolicyV2` es una alternativa más restrictiva a `AmazonEBSCSIDriverPolicy`. Esto limita el controlador de CSI de Amazon EBS a la gestión de los volúmenes e instantáneas de EBS que estén etiquetados con la clave `ebs.csi.aws.com/cluster` establecida como `true`. Los volúmenes aprovisionados por el complemento de volúmenes en árbol de Kubernetes (volúmenes migrados a CSI) también se admiten mediante la etiqueta de recurso `kubernetes.io/created-for/pvc/name`.

Si está migrando desde `AmazonEBSCSIDriverPolicy`, consulte [Migración de la política del controlador de CSI de EBS](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918).

Para consultar la versión más reciente del documento de la política de JSON, consulte [AmazonEBSCSIDriverPolicyV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html#AmazonEBSCSIDriverPolicyV2-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada por AWS: AmazonEBSCSIDriverEKSClusterScopedPolicy
<a name="security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy"></a>

La política `AmazonEBSCSIDriverEKSClusterScopedPolicy` limita el controlador de CSI de Amazon EBS a administrar únicamente volúmenes e instantáneas de EBS que pertenecen a un clúster de EKS específico. Requiere que la etiqueta de recurso `ebs.csi.aws.com/cluster-name` coincida con la etiqueta `eks-cluster-name` en la entidad principal de IAM, lo que evita el acceso entre clústeres cuando varios clústeres comparten la misma cuenta de AWS. Las operaciones de conexión y desconexión en instancias se restringen a instancias etiquetadas con la etiqueta `eks:cluster-name` (establecida automáticamente por EKS en los grupos de nodos administrados) o la etiqueta `ebs.csi.aws.com/cluster-name` (para instancias etiquetadas manualmente).

Si está migrando desde `AmazonEBSCSIDriverPolicy`, consulte [Migración de la política del controlador de CSI de EBS](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918).

Para consultar la versión más reciente del documento de política de JSON, consulte [AmazonEBSCSIDriverEKSClusterScopedPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html#AmazonEBSCSIDriverEKSClusterScopedPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEFSCSIDriverPolicy
<a name="security-iam-awsmanpol-amazonefscsidriverservicerolepolicy"></a>

La política de `AmazonEFSCSIDriverPolicy` permite a la interfaz de almacenamiento de contenedores (CSI) de Amazon EFS crear y eliminar puntos de acceso en su nombre. También otorga permisos al controlador de CSI de Amazon EFS para enumerar sus puntos de acceso, sistemas de archivos, destinos de montaje y zonas de disponibilidad de Amazon EC2.

Para consultar la versión más reciente del documento de política JSON, consulte [AmazonEFSCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html#AmazonEFSCSIDriverPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada por AWS: AmazonS3FilesCSIDriverPolicy
<a name="security-iam-awsmanpol-amazons3filescsidriverservicerolepolicy"></a>

La política de `AmazonS3FilesCSIDriverPolicy` permite a la interfaz de almacenamiento de contenedores (CSI) de Amazon EFS crear y eliminar puntos de acceso de Amazon S3 Files en su nombre. También concede al controlador de CSI de Amazon EFS permisos para enumerar sus puntos de acceso de Amazon S3 Files y sistemas de archivos.

Para consultar la versión más reciente del documento de política de JSON, consulte [AmazonS3FilesCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html#AmazonS3FilesCSIDriverPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSLocalOutpostClusterPolicy
<a name="security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy"></a>

Puede asociar esta política a entidades de IAM. Antes de crear un clúster local, debe adjuntar esta política al [rol del clúster](cluster-iam-role.md). Los clústeres de Kubernetes administrados por Amazon EKS realizan llamadas a otros servicios de AWS en su nombre. Lo hacen para administrar los recursos que utiliza con el servicio.

La `AmazonEKSLocalOutpostClusterPolicy` incluye los siguientes permisos:
+  **Acciones de lectura de `ec2`**: permite a las instancias del plano de control describir las propiedades de la zona de disponibilidad, la tabla de enrutamiento, la instancia y la interfaz de red. Permisos necesarios para que las instancias de Amazon EC2 se unan correctamente al clúster como instancias del plano de control.
+  ** `ssm` ** – permite la conexión de Amazon EC2 Systems Manager a la instancia del plano de control, que Amazon EKS usa para comunicar y administrar el clúster local de su cuenta.
+  ** `logs` ** – permite que las instancias envíen registros a Amazon CloudWatch.
+  ** `secretsmanager` **: permite a las instancias obtener y eliminar los datos de arranque de las instancias del plano de control de forma segura desde AWS Secrets Manager.
+  ** `ecr` ** – permite que los pods y los contenedores que se ejecutan en las instancias del plano de control extraigan imágenes de contenedor almacenadas en Amazon Elastic Container Registry.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSLocalOutpostClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostClusterPolicy.html#AmazonEKSLocalOutpostClusterPolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Política administrada de AWS: AmazonEKSLocalOutpostServiceRolePolicy
<a name="security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy"></a>

No puede adjuntar esta política a sus entidades de IAM. Al crear un clúster mediante una entidad principal de IAM que tiene el permiso `iam:CreateServiceLinkedRole`, Amazon EKS crea el rol vinculado a servicios [AWSServiceRoleforAmazonEKSLocalOutpost](using-service-linked-roles-eks-outpost.md) de forma automática en su nombre y le asocia esta política. Esta política permite al rol vinculado a servicios llamar a servicios de AWS para clústeres locales en su nombre.

La `AmazonEKSLocalOutpostServiceRolePolicy` incluye los siguientes permisos:
+  ** `ec2` ** – permite a Amazon EKS trabajar con la seguridad, la red y otros recursos para lanzar y administrar correctamente las instancias del plano de control en su cuenta.
+  ** `ssm`, `ssmmessages` ** – permite la conexión de Amazon EC2 Systems Manager a las instancias del plano de control, que Amazon EKS usa para comunicar y administrar el clúster local de su cuenta.
+  ** `iam` ** – permite a Amazon EKS administrar el perfil de instancia asociado a las instancias del plano de control.
+  ** `secretsmanager` **: permite a Amazon EKS colocar los datos de arranque de las instancias del plano de control en AWS Secrets Manager para que pueda consultarse de forma segura durante el arranque de la instancia.
+  ** `outposts` ** – permite a Amazon EKS obtener información de Outpost de su cuenta para lanzar correctamente un clúster local en un Outpost.

Para ver la versión más reciente del documento de política JSON, consulte [AmazonEKSLocalOutpostServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostServiceRolePolicy.html#AmazonEKSLocalOutpostServiceRolePolicy-json) en la Guía de referencia de políticas administradas de AWS.

## Actualizaciones de Amazon EKS en las políticas administradas de AWS
<a name="security-iam-awsmanpol-updates"></a>

Es posible consultar los detalles sobre las actualizaciones de las políticas administradas de AWS para Amazon EKS debido a que este servicio comenzó a realizar el seguimiento de estos cambios.

Para recibir notificaciones de todos los cambios en el archivo de origen de esta página de documentación específica, puede suscribirse a la siguiente URL con un lector de RSS:

```
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
```


| Cambio | Descripción | Fecha | 
| --- | --- | --- | 
| Se agregaron permisos a [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy). | Se agregó una nueva acción de API `ec2:DescribeInstanceTypes` para permitir que el controlador de CSI de EBS recupere dinámicamente la información sobre el límite de volumen o la tarjeta en tiempo de ejecución. | 12 de mayo de 2026 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | Se agregó el permiso `elasticloadbalancing:DescribeLoadBalancers` a `AmazonEKSLoadBalancingPolicy` para permitir que el controlador de modo automático de Amazon EKS describa LoadBalancer. | 27 de abril de 2026 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | Se agregó el permiso `elasticloadbalancing:DescribeCapacityReservation` a `AmazonEKSLoadBalancingPolicy` para permitir que el controlador de modo automático de Amazon EKS describa las unidades de capacidad de LoadBalancer. | 20 de abril de 2026 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | Se agregaron los permisos `ec2:DescribeInstanceStatus` y `iam:ListInstanceProfiles` en `AmazonEKSServiceRolePolicy`. Estos permisos permiten que el modo automático de Amazon EKS detecte los eventos de estado de EC2 para las instancias administradas y limpie los perfiles de instancias administradas. | 20 de abril de 2026 | 
| Se agregó el permiso a [Política administrada de AWS: AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy). | Se actualizaron los permisos de recursos de las acciones `ec2:RunInstances` y `ec2:CreateFleet` para incluir los grupos de ubicación ` arn:aws:ec2:*:*:placement-group/*`. Esto permite que el modo automático de Amazon EKS inicie instancias en los grupos de ubicación de EC2 en su cuenta. | 17 de abril de 2026 | 
| Se introdujeron [AmazonEBSCSIDriverPolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2) y [AmazonEBSCSIDriverEKSClusterScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy). | Se introdujeron `AmazonEBSCSIDriverPolicyV2` y `AmazonEBSCSIDriverEKSClusterScopedPolicy` como alternativas más restrictivas a `AmazonEBSCSIDriverPolicy`. `AmazonEBSCSIDriverPolicyV2` limita el controlador de CSI de EBS a volúmenes e instantáneas etiquetados con `ebs.csi.aws.com/cluster` establecido en `true`. `AmazonEBSCSIDriverEKSClusterScopedPolicy` limita el controlador a volúmenes e instantáneas que pertenecen a un clúster de EKS específico mediante la etiqueta `ebs.csi.aws.com/cluster-name`. | 16 de abril de 2026 | 
| Se agregó un permiso a [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Se agregó el permiso a `ec2:DescribePlacementGroups` para permitir que el modo automático de Amazon EKS inicie instancias en los grupos de ubicación de EC2 en su cuenta. | 15 de abril de 2026 | 
| Permisos actualizados para [Política administrada de AWS: AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy). | Se actualizaron los permisos `shield:CreateProtection` y `shield:DeleteProtection` en `AmazonEKSLoadBalancingPolicy`. Esto permite al controlador del modo automático de Amazon EKS agregar protección de escudo. | 14 de abril de 2026 | 
| Se agregaron permisos a [Política administrada de AWS: AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy). | Se actualizó el permiso `elasticloadbalancing:RegisterTargets` en `AmazonEKSLoadBalancingPolicy` para agregar compatibilidad con multiclúster y targetgroupbindings personalizados | 20 de marzo de 2026 | 
| Se agregaron permisos a [Política administrada de AWS: AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy). | Se agregó el permiso `elasticloadbalancing:ModifyIpPools` en `AmazonEKSLoadBalancingPolicy` para agregar soporte a la configuración del grupo de IPAM para ALB | 20 de marzo de 2026 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSNetworkingPolicy](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy). | Se agregó el permiso `ec2:ModifyNetworkInterfaceAttribute` en `AmazonEKSNetworkingPolicy`. Esto permite al controlador de modo automático de Amazon EKS modificar los atributos de la interfaz de red relacionados con las instancias de EC2. | 3 de febrero de 2026 | 
| Se agregaron permisos a [Política administrada de AWS: AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup). | Se agregaron los permisos `autoscaling:PutWarmPool`, `autoscaling:DeleteWarmPool` y `autoscaling:DescribeWarmPool` a `AWSServiceRoleForAmazonEKSNodegroup`. Esto permite que los grupos de nodos administrados de Amazon EKS administren los recursos subyacentes del grupo de reserva en caliente de ASG durante el ciclo de vida del grupo de nodos. | 17 de febrero de 2026 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Se eliminó el requisito del prefijo “eks” en el nombre del perfil de instancia de destino para el permiso `iam:GetInstanceProfile` en `AmazonEKSServiceRolePolicy`. Esto permite que el modo automático de Amazon EKS valide y utilice perfiles de instancia personalizados en las clases de nodos sin requerir el prefijo “eks” en la nomenclatura. | 2 de febrero de 2026 | 
| Se agregaron permisos a [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy). | Se agregó el permiso `ec2:LockSnapshot` para permitir que el controlador EBS CSI bloquee directamente las instantáneas de EBS. | 15 de enero de 2026 | 
| Presentó la política [Política administrada de AWS: AmazonEKSMCPReadOnlyAccess](#security-iam-awsmanpol-amazoneksmcpreadonlyaccess). | Amazon EKS introdujo una nueva política administrada de `AmazonEKSMCPReadOnlyAccess` para activar herramientas de solo lectura en el servidor MCP de Amazon EKS para la observabilidad y la solución de problemas. | 21 de noviembre de 2025 | 
| Se agregaron permisos a [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy). | Se agregó el permiso `ec2:CopyVolumes` para permitir que el controlador CSI de EBS copie los volúmenes de EBS directamente. | 17 de noviembre de 2025 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Se agregaron los permisos `ec2:DescribeRouteTables` y `ec2:DescribeNetworkAcls` a `AmazonEKSServiceRolePolicy`. De este modo, Amazon EKS puede detectar problemas de configuración con las tablas de enrutamiento de VPC y las ACL de red para nodos híbridos como parte de la información de los clústeres. | 22 de octubre de 2025 | 
| Se agregó el permiso a [AWSServiceRoleForAmazonEKSConnector](using-service-linked-roles-eks-connector.md).  | Se agregó el permiso `ssmmessages:OpenDataChannel` a `AmazonEKSConnectorServiceRolePolicy`.  | 15 de octubre de 2025 | 
| Se agregó el permiso a . [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | Este rol puede adjuntar la nueva política de acceso `AmazonEKSEventPolicy`. Permisos restringidos para `ec2:DeleteLaunchTemplate` y `ec2:TerminateInstances`. | 26 de agosto de 2025 | 
| Permiso agregado a [Política administrada de AWS: AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy)  | Se agregó el permiso `ssmmessages:OpenDataChannel` a `AmazonEKSLocalOutpostServiceRolePolicy`. | 26 de junio de 2025 | 
| Se agregó el permiso a [Política administrada de AWS: AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy). | Se actualizaron los permisos de recursos para las acciones `ec2:RunInstances` y `ec2:CreateFleet` a fin de incluir las reservas de capacidad ` arn:aws:ec2:*:*:capacity-reservation/*`. Esto permite que el modo automático de Amazon EKS ejecute instancias mediante las reservas de capacidad bajo demanda de EC2 en su cuenta. Se agregó `iam:CreateServiceLinkedRole` para permitir que el modo automático de Amazon EKS cree el rol `AWSServiceRoleForEC2Spot` vinculado al servicio EC2 Spot en su nombre. | 20 de junio de 2025 | 
| Se agregó un permiso a [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Se agregó el permiso `ec2:DescribeCapacityReservations` para permitir que el modo automático de Amazon EKS ejecute instancias mediante las reservas de capacidad bajo demanda de EC2 en su cuenta. | 20 de junio de 2025 | 
| Presentó la política [Política administrada de AWS: AmazonEKSDashboardConsoleReadOnly](#security-iam-awsmanpol-amazoneksdashboardconsolereadonly). | Se introdujo una nueva política `AmazonEKSDashboardConsoleReadOnly`. | 19 de junio de 2025 | 
| Presentó la política [Política administrada de AWS: AmazonEKSDashboardServiceRolePolicy](#security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy). | Se introdujo una nueva política `AmazonEKSDashboardServiceRolePolicy`. | 21 de mayo de 2025 | 
| Se agregaron permisos a [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy). | Se agregó el permiso `ec2:DeleteNetworkInterfaces` para permitir que Amazon EKS elimine las interfaces de red elásticas que se excluyen si la CNI de la VPC se cierra inesperadamente. | 16 de abril de 2025 | 
| Se agregó un permiso a [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Como parte de la versión 1.33 de EKS, se agregaron los permisos `ec2:RevokeSecurityGroupEgress` y `ec2:AuthorizeSecurityGroupEgress` para que los clientes de IA/ML de EKS puedan añadir reglas de salida de grupos de seguridad al clúster SG de EKS predeterminado que sean compatibles con EFA. | 14 de abril de 2025 | 
| Se agregaron permisos a [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Se agregó el permiso para terminar instancias de EC2 creadas por el modo automático de EKS. | 28 de febrero de 2025 | 
| Se agregaron permisos a [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy). | Se agregó una nueva declaración que autoriza al controlador CSI de EBS a restaurar todas las instantáneas. La política vigente permitía esto anteriormente, pero se requiere una nueva declaración explícita debido a un cambio en la gestión de IAM para `CreateVolume`.<br />Se concedió al controlador CSI de EBS la capacidad de modificar las etiquetas de los volúmenes existentes. El controlador de CSI de EBS puede modificar las etiquetas de los volúmenes existentes a través de parámetros en VolumeAttributesClasses de Kubernetes.<br />Se concedió al controlador CSI de EBS la capacidad de habilitar la restauración rápida de instantáneas (FSR) en los volúmenes de EBS. El controlador de CSI de EBS puede habilitar la FSR en volúmenes nuevos mediante parámetros en clases de almacenamiento de Kubernetes. | 13 de enero de 2025 | 
| Se agregaron permisos a [Política administrada de AWS: AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy). | Se actualizó `AmazonEKSLoadBalancingPolicy` para permitir la enumeración y descripción de los recursos de redes y direcciones IP. | 26 de diciembre de 2024 | 
| Se agregaron permisos a [Política administrada de AWS: AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup). | `AWSServiceRoleForAmazonEKSNodegroup` se actualizó de modo que sea compatible con regiones de China. | 22 de noviembre de 2024 | 
| Se agregaron permisos a [Política administrada de AWS: AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy)  | Se agregó un permiso `ec2:DescribeAvailabilityZones` a AWS de modo que el administrador de controladores de la nube de `AmazonEKSLocalOutpostClusterPolicy` en el plano de control del clúster pueda identificar la zona de disponibilidad en la que se encuentra cada nodo. | 21 de noviembre de 2024 | 
| Se agregaron permisos a [Política administrada de AWS: AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup). | Se actualizó la política `AWSServiceRoleForAmazonEKSNodegroup` para permitir `ec2:RebootInstances` para las instancias creadas por grupos de nodos administrados por Amazon EKS. Se restringieron los permisos `ec2:CreateTags` para los recursos de Amazon EC2. | 20 de noviembre de 2024 | 
| Se agregaron permisos a [Política administrada de AWS: AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | EKS actualizó la política `AmazonEKSServiceRolePolicy` administrada por AWS. Se han agregado permisos para las políticas de acceso a EKS, la administración del equilibrador de carga y la limpieza automatizada de los recursos del clúster. | 16 de noviembre de 2024 | 
| Presentó la política [Política administrada de AWS: AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy). | EKS actualizó la política `AmazonEKSComputePolicy` administrada por AWS. Se actualizaron los permisos de recursos para la acción `iam:AddRoleToInstanceProfile`. | 7 de noviembre de 2024 | 
| Presentó la política [Política administrada de AWS: AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy). |  AWS presentó la `AmazonEKSComputePolicy`. | 1 de noviembre de 2024 | 
| Se agregaron permisos a `AmazonEKSClusterPolicy`  | Se agregó el permiso `ec2:DescribeInstanceTopology` para permitir que Amazon EKS asocie información de topología al nodo como marcas. | 1 de noviembre de 2024 | 
| Presentó la política [Política administrada de AWS: AmazonEKSBlockStoragePolicy](#security-iam-awsmanpol-AmazonEKSBlockStoragePolicy). |  AWS presentó la `AmazonEKSBlockStoragePolicy`. | 30 de octubre de 2024 | 
| Presentó la política [Política administrada de AWS: AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy). |  AWS presentó la `AmazonEKSLoadBalancingPolicy`. | 30 de octubre de 2024 | 
| Se agregaron permisos a [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy). | Se agregaron permisos `cloudwatch:PutMetricData` para permitir que Amazon EKS publique métricas en Amazon CloudWatch. | 29 de octubre de 2024 | 
| Presentó la política [Política administrada de AWS: AmazonEKSNetworkingPolicy](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy). |  AWS presentó la `AmazonEKSNetworkingPolicy`. | 28 de octubre de 2024 | 
| Permisos añadidos a las políticas `AmazonEKSServicePolicy` y `AmazonEKSServiceRolePolicy`  | Se añadió `ec2:GetSecurityGroupsForVpc` y los permisos de etiquetas asociados para permitir que Amazon EKS lea la información del grupo de seguridad y actualice las etiquetas relacionadas. | 10 de octubre de 2024 | 
| Introdujo [AmazonEKSWorkerNodeMinimalPolicy](#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy). |  AWS presentó la `AmazonEKSWorkerNodeMinimalPolicy`. | 3 de octubre de 2024 | 
| Se agregaron permisos a [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup). | Se añadieron los permisos `autoscaling:ResumeProcesses` y `autoscaling:SuspendProcesses` para permitir que Amazon EKS suspenda y reanude el `AZRebalance` en los grupos de escalado automático administrados por Amazon EKS. | 21 de agosto de 2024 | 
| Se agregaron permisos a [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup). | Se agregó el permiso `ec2:DescribeCapacityReservations` para permitir que Amazon EKS describa la reserva de capacidad en la cuenta de usuario. Se agregó el permiso `autoscaling:PutScheduledUpdateGroupAction` para permitir configurar el escalado programado en los grupos de nodos `CAPACITY_BLOCK`. | 27 de junio de 2024 | 
|  [AmazonEKS\_CNI\_Policy](#security-iam-awsmanpol-amazoneks-cni-policy): actualización de una política existente | Amazon EKS ha agregado nuevos permisos `ec2:DescribeSubnets` para que el complemento CNI de Amazon VPC para Kubernetes pueda ver la cantidad de direcciones IP libres en las subredes de Amazon VPC. La CNI de la VPC puede usar las direcciones IP libres de cada subred para seleccionar las subredes con la mayor cantidad de direcciones IP libres y utilizarlas al crear una interfaz de red elástica. | 4 de marzo de 2024 | 
|  [AmazonEKSWorkerNodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy): Actualización de una política existente | Amazon EKS agregó nuevos permisos para permitir las Pod Identities de EKS. El agente de Pod Identity de Amazon EKS usa el rol de nodo. | 26 de noviembre de 2023 | 
| Se presentó [AmazonEFSCSIDriverPolicy](#security-iam-awsmanpol-amazonefscsidriverservicerolepolicy). |  AWS presentó la `AmazonEFSCSIDriverPolicy`. | 26 de julio de 2023 | 
| Se agregaron permisos a [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy). | Se agregó un permiso de `ec2:DescribeAvailabilityZones` para permitir que Amazon EKS obtenga los detalles de AZ durante la detección automática de subredes al crear equilibradores de carga. | 7 de febrero de 2023 | 
| Condiciones de la política actualizadas en [AmazonEBSCSIdRiverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy). | Eliminación de condiciones de política no válidas con caracteres comodín en el campo clave de `StringLike`. También se agregó una nueva condición `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` a `ec2:DeleteVolume`, que permite al controlador CSI de EBS eliminar los volúmenes creados por el complemento integrado en el árbol. | 17 de noviembre de 2022 | 
| Se agregaron permisos a [AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy). | Se agregó `ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` y `ec2:DescribeSecret` para permitir una mejor validación de los requisitos previos y un control del ciclo de vida administrado. También se agregó `ec2:DescribePlacementGroups` y `"arn:aws:ec2:*:*:placement-group/*"` a `ec2:RunInstances` para admitir el control de ubicación de las instancias de Amazon EC2 del plano de control en Outposts. | 24 de octubre de 2022 | 
| Actualice los permisos del registro de Amazon Elastic Container Registry en [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy). | Se movió la acción `ecr:GetDownloadUrlForLayer` de todas las secciones de recursos a una sección específica. Se agregó el recurso ` arn:aws:ecr:*:*:repository/eks/ `. Se eliminó el recurso ` arn:aws:ecr:`. Este recurso está cubierto por el recurso agregado ` arn:aws:ecr:*:*:repository/eks/*`. | 20 de octubre de 2022 | 
| Se agregaron permisos a [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy). | Se agregó el repositorio de Amazon Elastic Container Registry ` arn:aws:ecr:*:*:repository/kubelet-config-updater` para que las instancias del plano de control del clúster puedan actualizar algunos argumentos de `kubelet`. | 31 de agosto de 2022 | 
| Se presentó [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy). |  AWS presentó la `AmazonEKSLocalOutpostClusterPolicy`. | 24 de agosto de 2022 | 
| Se presentó [AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy). |  AWS presentó la `AmazonEKSLocalOutpostServiceRolePolicy`. | 23 de agosto de 2022 | 
| Se presentó [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy). |  AWS presentó la `AmazonEBSCSIDriverPolicy`. | 4 de abril de 2022 | 
| Se agregaron permisos a [AmazonEKSWorkerNodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy). | Se agregó `ec2:DescribeInstanceTypes` para habilitar las AMI optimizadas de Amazon EKS que pueden detectar en forma automática las propiedades de nivel de instancia. | 21 de marzo de 2022 | 
| Se agregaron permisos a [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup). | Se agregó el permiso `autoscaling:EnableMetricsCollection` para permitir que Amazon EKS habilite la recopilación de métricas. | 13 de diciembre de 2021 | 
| Se agregaron permisos a [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy). | Se han agregados permisos de `ec2:DescribeAccountAttributes`, `ec2:DescribeAddresses` y `ec2:DescribeInternetGateways` a fin de permitir que Amazon EKS cree un rol vinculado a servicios para un equilibrador de carga de red. | 17 de junio de 2021 | 
| Amazon EKS comenzó a realizar el seguimiento de los cambios. | Amazon EKS comenzó a realizar el seguimiento de los cambios de las políticas administradas de AWS. | 17 de junio de 2021 |