View a markdown version of this page

Concessão de acesso de gravação às APIs do Kubernetes pra serviços da AWS - Amazon EKS
Permissões obrigatóriasVisibilidade do CloudTrail

Ajudar a melhorar esta página

Para contribuir com este guia de usuário, escolha o link Editar esta página no GitHub, disponível no painel direito de cada página.

Concessão de acesso de gravação às APIs do Kubernetes pra serviços da AWS

Permissões obrigatórias

Para permitir que os serviços da AWS executem operações de gravação em recursos do Kubernetes no cluster do Amazon EKS, é necessário conceder as permissões eks:AccessKubernetesApi e eks:MutateViaKubernetesApi do IAM.

Por exemplo, o Amazon SageMaker HyperPod usa essas permissões para permitir a implantação de modelos a partir do SageMaker AI Studio. Para obter mais informações, consulte Configuração de permissões opcionais do SDK de JavaScript no Guia de desenvolvedor do Amazon SageMaker AI.

Importante

As operações de gravação, como criar, atualizar e excluir, exigem ambas as permissões. Se alguma permissão estiver faltando, as operações de gravação falharão.

Visibilidade do CloudTrail

Ao executar operações de gravação em recursos do Kubernetes, você visualizará nomes de operação específicos nos logs do CloudTrail:

  • createKubernetesObject: ao criar novos recursos

  • updateKubernetesObject: ao modificar os recursos existentes

  • deleteKubernetesObject: ao remover recursos

Esses eventos do CloudTrail contêm trilhas de auditoria detalhadas de todas as modificações feitas em seus recursos do Kubernetes.

nota

Esses nomes de operação aparecem nos logs do CloudTrail somente para fins de auditoria. Eles não são ações do IAM e não podem ser usados nas declarações de política do IAM. Para controlar o acesso de gravação aos recursos do Kubernetes por meio de políticas do IAM, use a permissão eks:MutateViaKubernetesApi conforme mostrado na seção Permissões obrigatórias.