**協助改進此頁面** 

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

若要為本使用者指南貢獻內容，請點選每個頁面右側面板中的**在 GitHub 上編輯此頁面**連結。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Amazon Elastic Kubernetes Service 的 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新 AWS 服務啟動或新 API 操作可用於現有服務時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 受管政策：AmazonEKS\_CNI\_Policy
<a name="security-iam-awsmanpol-amazoneks-cni-policy"></a>

您可以將 `AmazonEKS_CNI_Policy` 連接到 IAM 實體。在建立 Amazon EC2 節點群組之前，必須將此政策連接到[節點 IAM 角色](create-node-role.md)，或連接到由適用於 Kubernetes 的 Amazon VPC CNI 外掛程式專門使用的 IAM 角色。這樣一來，可以代表您執行動作。我們建議您將政策連接至僅供外掛程式使用的角色。如需詳細資訊，請參閱[使用 Amazon VPC CNI 將 IP 指派給 Pod](managing-vpc-cni.md)及[設定 Amazon VPC CNI 外掛程式以使用 IRSA](cni-iam-role.md)。

 **許可詳細資訊** 

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `ec2:*NetworkInterface` 和 `ec2:*PrivateIpAddresses` ** – 允許 Amazon VPC CNI 外掛程式執行動作，例如佈建彈性網路介面和 Pod 的 IP 位址，以便為在 Amazon EKS 中執行的應用程式提供聯網。
+  ** `ec2` 讀取動作** – 允許 Amazon VPC CNI 外掛程式執行動作，例如對執行個體與子網路進行描述，以查看 Amazon VPC 子網路中可用 IP 位址的數量。VPC CNI 可使用每個子網路中空閒的 IP 位址，選擇建立彈性網路介面時，使用最空閒 IP 位址的子網路。

若要檢視 JSON 政策文件的最新版本，請參閱[《 受管政策參考指南》中的 AmazonEKS\_CNI\_Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html#AmazonEKS_CNI_Policy-json)。 AWS 

## AWS 受管政策：AmazonEKSClusterPolicy
<a name="security-iam-awsmanpol-amazoneksclusterpolicy"></a>

您可以將 `AmazonEKSClusterPolicy` 連接到 IAM 實體。建立叢集之前，您必須具有連接了此政策的[叢集 IAM 角色](cluster-iam-role.md)。由 Amazon EKS 管理的 Kubernetes 叢集會代表您呼叫其他 AWS 服務。他們會執行此作業，以管理您搭配本服務使用的資源。

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `autoscaling` ** – 讀取和更新 Auto Scaling 群組的組態。Amazon EKS 不會使用這些許可，但會保留在政策中以確保回溯相容性。
+  ** `ec2` ** – 使用與 Amazon EC2 節點相關聯的磁碟區和網路資源。這是必要項目，以便 Kubernetes 控制平面可以將執行個體加入叢集，並動態佈建和管理 Kubernetes 持久性磁碟區請求的 Amazon EBS 磁碟區。
+  ** `ec2` ** - 刪除由 VPC CNI 建立的彈性網路介面。此動作很必要，這樣一來 EKS 就能在 VPC CNI 非預期退出的情況下，清理留下的彈性網路介面。
+  ** `elasticloadbalancing` ** – 使用 Elastic Load Balancer，並將節點作為目標新增至 Elastic Load Balancers。這是必要項目，以便 Kubernetes 控制平台可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。
+  ** `iam` ** – 建立服務連結角色。這是必要項目，以便 Kubernetes 控制平面可以動態佈建 Kubernetes 服務要求的 Elastic Load Balancer。
+  ** `kms` ** – 從 AWS KMS 讀取金鑰。這是 Kubernetes 控制平面支援在 `etcd` 中存放的 Kubernetes 秘密之[秘密加密](https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/)的必要條件。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSClusterPolicy.html#AmazonEKSClusterPolicy-json)。

## AWS 受管政策：AmazonEKSDashboardConsoleReadOnly
<a name="security-iam-awsmanpol-amazoneksdashboardconsolereadonly"></a>

您可以將 `AmazonEKSDashboardConsoleReadOnly` 連接到 IAM 實體。

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `eks` ** - 以唯讀方式存取 EKS 儀表板資料、資源及叢集版本資訊。這允許檢視 EKS 相關的指標及叢集組態詳細資訊。
+  ** `organizations` ** - AWS Organizations 資訊的唯讀存取權，包括：
  + 檢視組織詳細資訊與服務存取權
  + 列示組織根目錄、帳戶與組織單位
  + 檢視組織結構

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSDashboardConsoleReadOnly](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardConsoleReadOnly.html#AmazonEKSDashboardConsoleReadOnly-json)。

## AWS 受管政策：AmazonEKSFargatePodExecutionRolePolicy
<a name="security-iam-awsmanpol-amazoneksfargatepodexecutionrolepolicy"></a>

您可以將 `AmazonEKSFargatePodExecutionRolePolicy` 連接到 IAM 實體。在建立 Fargate 描述檔之前，您必須先建立 Fargate Pod 執行角色並將此政策連接至該角色。如需詳細資訊，請參閱[步驟 2：建立 Fargate Pod 執行角色](fargate-getting-started.md#fargate-sg-pod-execution-role)及[定義哪些 Pod 在啟動時會使用 AWS Fargate](fargate-profile.md)。

此政策授予該角色許可，該許可提供在 Fargate 上執行 Amazon EKS Pod 所需的其他 AWS 服務資源的存取權。

 **許可詳細資訊** 

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `ecr` ** – 允許在 Fargate 上執行的 Pod 提取存放在 Amazon ECR 中的容器映像。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSFargatePodExecutionRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSFargatePodExecutionRolePolicy.html#AmazonEKSFargatePodExecutionRolePolicy-json)。

## AWS 受管政策：AmazonEKSConnectorServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonEKSConnectorServiceRolePolicy"></a>

您不得將 `AmazonEKSConnectorServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊，請參閱[使用角色將 Kubernetes 叢集連線至 Amazon EKS](using-service-linked-roles-eks-connector.md)。

該角色可讓 Amazon EKS 連接 Kubernetes 叢集。連接的政策可讓角色管理必要的資源，以連接到已註冊的 Kubernetes 叢集。

 **許可詳細資訊** 

此政策包含下列允許 Amazon EKS 完成下列任務的許可。
+  ** `SSM Management` ** – 建立、描述和刪除 SSM 啟用，以及取消註冊受管執行個體。這允許基本 Systems Manager 操作。
+  ** `Session Management` ** – 啟動專門針對 EKS 叢集的 SSM 工作階段，並使用 AmazonEKS 文件執行非互動式命令。
+  ** `IAM Role Passing` ** – 將 IAM 角色特別傳遞至 SSM 服務，由將傳遞角色限制為 的條件控制`ssm.amazonaws.com`。
+  ** `EventBridge Rules` ** – 建立 EventBridge 規則和目標，但僅限於由 管理時`eks-connector.amazonaws.com`。規則特別限於 AWS SSM 做為事件來源。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSConnectorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSConnectorServiceRolePolicy.html)。

## AWS 受管政策：AmazonEKSForFargateServiceRolePolicy
<a name="security-iam-awsmanpol-amazoneksforfargateservicerolepolicy"></a>

您不得將 `AmazonEKSForFargateServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊，請參閱`AWSServiceRoleforAmazonEKSForFargate`。

此政策授予 Amazon EKS 執行 Fargate 任務的必要許可。只有在您擁有 Fargate 節點時才會使用此政策。

 **許可詳細資訊** 

此政策包含下列允許 Amazon EKS 完成下列任務的許可。
+  ** `ec2` ** – 建立和刪除彈性網路介面，並描述彈性網路介面和資源。這是必要的，因此 Amazon EKS Fargate 服務可以設定 Fargate Pod 所需的 VPC 聯網。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSForFargateServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSForFargateServiceRolePolicy.html#AmazonEKSForFargateServiceRolePolicy-json)。

## AWS 受管政策：AmazonEKSComputePolicy
<a name="security-iam-awsmanpol-AmazonEKSComputePolicy"></a>

您可以將 `AmazonEKSComputePolicy` 連接到 IAM 實體。您可連接此政策至[叢集 IAM 角色](cluster-iam-role.md)，以便擴充 EKS 可在帳戶中管理的資源。

此政策授予 Amazon EKS 針對 EKS 叢集建立及管理 EC2 執行個體的必要許可，以及設定 EC2 的必要 IAM 許可。此外，此政策還授予 Amazon EKS 代您建立 EC2 Spot 服務連結角色的許可。

### 許可詳細資訊
<a name="_permissions_details"></a>

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `ec2` 許可**：
  +  `ec2:CreateFleet` 和 `ec2:RunInstances` - 允許建立 EC2 執行個體，並為 EKS 叢集節點使用特定 EC2 資源 （映像、安全群組、子網路、隨需容量保留、置放群組）。
  +  `ec2:CreateLaunchTemplate` - 允許針對 EKS 叢集節點建立 EC2 啟動範本。
  + 此外，對於透過 EKS 叢集名稱及其他相關標籤標記的資源，此政策還包括限制使用這些 EC2 許可的條件。
  +  `ec2:CreateTags` - 允許新增標籤新增至透過 `CreateFleet`、`RunInstances` 與 `CreateLaunchTemplate` 動作建立的 EC2 資源。
+  ** `iam` 許可**：
  +  `iam:AddRoleToInstanceProfile` - 允許新增 IAM 角色至 EKS 運算執行個體設定檔。
  +  `iam:PassRole` - 允許傳遞必要的 IAM 角色至 EC2 服務。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSComputePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSComputePolicy.html#AmazonEKSComputePolicy-json)。

## AWS 受管政策：AmazonEKSNetworkingPolicy
<a name="security-iam-awsmanpol-AmazonEKSNetworkingPolicy"></a>

您可以將 `AmazonEKSNetworkingPolicy` 連接到 IAM 實體。您可連接此政策至[叢集 IAM 角色](cluster-iam-role.md)，以便擴充 EKS 可在帳戶中管理的資源。

制定此政策旨在授予 Amazon EKS 建立及管理 EKS 叢集網路介面的必要許可，以便控制平面與工作節點能夠正常通訊及運作。

### 許可詳細資訊
<a name="_permissions_details_2"></a>

此政策還授予以下許可，讓 Amazon EKS 能夠管理叢集的網路介面：
+  ** `ec2` 網路介面許可**：
  +  `ec2:CreateNetworkInterface` - 允許建立 EC2 網路介面。
  + 此政策包括各種條件，旨在將此許可的使用限制為標記有 EKS 叢集名稱與 Kubernetes CNI 節點名稱的網路介面。
  +  `ec2:CreateTags` - 允許新增標籤至透過 `CreateNetworkInterface` 動作建立的網路介面。
+  ** `ec2` 網路介面管理許可**：
  +  `ec2:AttachNetworkInterface`、`ec2:ModifyNetworkInterfaceAttribute`、 `ec2:DetachNetworkInterface` - 允許連接、修改網路介面屬性，以及將網路介面分離到 EC2 執行個體。
  +  `ec2:UnassignPrivateIpAddresses`、`ec2:UnassignIpv6Addresses`、`ec2:AssignPrivateIpAddresses`、`ec2:AssignIpv6Addresses` - 允許管理網路介面的 IP 位址指派。
  + 這些許可的使用限制為標記有 EKS 叢集名稱的網路介面。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSNetworkingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSNetworkingPolicy.html#AmazonEKSNetworkingPolicy-json)。

## AWS 受管政策：AmazonEKSBlockStoragePolicy
<a name="security-iam-awsmanpol-AmazonEKSBlockStoragePolicy"></a>

您可以將 `AmazonEKSBlockStoragePolicy` 連接到 IAM 實體。您可連接此政策至[叢集 IAM 角色](cluster-iam-role.md)，以便擴充 EKS 可在帳戶中管理的資源。

此政策可授予 Amazon EKS 建立、管理及維護 EKS 叢集 EC2 磁碟區與快照的必要許可，從而支援控制平面與工作節點依據 Kubernetes 工作負載需求，來佈建及使用持續性儲存。

### 許可詳細資訊
<a name="_permissions_details_3"></a>

此 IAM 政策可授予以下許可，以便 Amazon EKS 能夠管理 EC2 磁碟區及快照：
+  ** `ec2` 磁碟區管理許可**：
  +  `ec2:AttachVolume`、`ec2:DetachVolume`、`ec2:ModifyVolume`、`ec2:EnableFastSnapshotRestores` - 允許連接、分離、修改及啟用 EC2 磁碟區的快速快照還原。
  + 這些許可的使用限制為標記有 EKS 叢集名稱的磁碟區。
  +  `ec2:CreateTags` - 允許新增標籤至透過 `CreateVolume` 與 `CreateSnapshot` 動作建立的 EC2 磁碟區及快照。
+  ** `ec2` 磁碟區建立許可**：
  +  `ec2:CreateVolume` - 允許建立全新的 EC2 磁碟區。
  + 對於透過 EKS 叢集名稱及其他相關標籤標記的磁碟區，此政策包括限制使用此許可的條件。
  +  `ec2:CreateSnapshot` - 允許建立全新的 EC2 磁碟區快照。
  + 對於透過 EKS 叢集名稱及其他相關標籤標記的快照，此政策包括限制使用此許可的條件。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSBlockStoragePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSBlockStoragePolicy.html#AmazonEKSBlockStoragePolicy-json)。

## AWS 受管政策：AmazonEKSLoadBalancingPolicy
<a name="security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy"></a>

您可以將 `AmazonEKSLoadBalancingPolicy` 連接到 IAM 實體。您可連接此政策至[叢集 IAM 角色](cluster-iam-role.md)，以便擴充 EKS 可在帳戶中管理的資源。

此 IAM 政策授予 Amazon EKS 使用各種 AWS 服務的必要許可，以管理 Elastic Load Balancer (ELBs) 和相關資源。

### 許可詳細資訊
<a name="_permissions_details_4"></a>

此政策授予的主要許可包括：
+  ** `elasticloadbalancing` **：允許建立、修改與管理 Elastic Load Balancer 及目標群組。這包括建立、更新與刪除負載平衡器、目標群組、接聽程式及規則的許可。
+  ** `ec2` **：允許建立及管理 Kubernetes 控制平面聯結執行個體至叢集，以及管理 Amazon EBS 磁碟區所需的安全群組。此外還允許描述及列示 EC2 資源，例如執行個體、VPC、子網路、安全群組，以及其他聯網資源。
+  ** `iam` **：允許針對 Elastic Load Balancing 建立服務連結角色，Kubernetes 控制平面動態佈建 ELB 必須使用該角色。
+  ** `kms` **：允許從 AWS KMS 讀取金鑰，這是 Kubernetes 控制平面支援加密存放在 等項目中的 Kubernetes 秘密所需的金鑰。
+  ** `wafv2` ** 和 ** `shield` **：允許關聯和取消關聯 Web ACLs，以及建立/刪除 Elastic Load Balancer AWS 的 Shield 保護。
+  ** `cognito-idp` **、** `acm` ** 及 ** `elasticloadbalancing` **：授予描述使用者集區用戶端、列示並描述憑證，以及描述目標群組的許可，Kubernetes 控制平面管理 Elastic Load Balancer 必須使用這些許可。

此政策還包括多項條件檢查，以確保使用 `eks:eks-cluster-name` 標籤，將許可範圍限定為正在管理的特定 EKS 叢集。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSLoadBalancingPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLoadBalancingPolicy.html#AmazonEKSLoadBalancingPolicy-json)。

## AWS 受管政策：AmazonEKSMCPReadOnlyAccess
<a name="security-iam-awsmanpol-amazoneksmcpreadonlyaccess"></a>

您可以將 `AmazonEKSMCPReadOnlyAccess` 連接到 IAM 實體。此政策提供 Amazon EKS 資源和相關 AWS 服務的唯讀存取權，讓 Amazon EKS 模型內容通訊協定 (MCP) 伺服器能夠執行可觀測性和故障診斷操作，而無需對您的基礎設施進行任何修改。

 **許可詳細資訊** 

此政策包含下列許可，允許主體完成下列任務：
+  ** `eks` ** 允許主體描述和列出 EKS 叢集、節點群組、附加元件、存取項目、洞見，以及存取 Kubernetes API 以進行唯讀操作。
+  ** `iam` ** 允許主體擷取 IAM 角色、政策及其附件的相關資訊，以了解與 EKS 資源相關聯的許可。
+  ** `ec2` ** 允許主體描述 VPCs、子網路和路由表，以了解 EKS 叢集的網路組態。
+  ** `sts` ** 允許主體擷取呼叫者身分資訊以進行身分驗證和授權。
+  ** `logs` ** 允許主體啟動查詢並從 CloudWatch Logs 擷取查詢結果，以進行疑難排解和監控。
+  ** `cloudwatch` ** 允許主體擷取指標資料，以監控叢集和工作負載效能。
+  ** `eks-mcp` ** 允許主體在 Amazon EKS MCP Server 內叫用 MCP 操作和呼叫唯讀工具。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSMCPReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSMCPReadOnlyAccess.html)。

## AWS 受管政策：AmazonEKSServicePolicy
<a name="security-iam-awsmanpol-amazoneksservicepolicy"></a>

您可以將 `AmazonEKSServicePolicy` 連接到 IAM 實體。在 2020 年 4 月 16 日之前建立的叢集，需要您建立 IAM 角色並將此政策連接到該角色。在 2020 年 4 月 16 日或之後建立的叢集不需要您建立角色，也不需要您指派此政策。使用具有 `iam:CreateServiceLinkedRole` 許可的 IAM 委託人建立叢集，即會為您自動建立 [AWSServiceRoleforAmazonEKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) 服務連結角色。服務連結角色已連接[受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。

此政策允許 Amazon EKS 建立和管理操作 Amazon EKS 叢集所需的資源。

 **許可詳細資訊** 

此政策包含下列允許 Amazon EKS 完成下列任務的許可。
+  ** `eks` ** – 在您開始更新之後，更新叢集的 Kubernetes 版本。Amazon EKS 不會使用這些許可，但會保留在政策中以確保回溯相容性。
+  ** `ec2` ** – 使用彈性網路介面及其他網路資源和標籤。Amazon EKS 要求這樣做，以設定可促進節點與 Kubernetes 控制平面之間的通訊的網路。讀取安全群組相關資訊。更新安全群組標籤。
+  ** `route53` ** – 將 VPC 與託管區域建立關聯。Amazon EKS 必須執行這項操作，才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。
+  ** `logs` ** – 日誌事件。這是必要項目，以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
+  ** `iam` ** – 建立服務連結角色。這是必需的，以便 Amazon EKScan 代表您建立 [Amazon EKS 的服務連結角色許可](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) 服務連結角色。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSServicePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServicePolicy.html#AmazonEKSServicePolicy-json)。

## AWS 受管政策：AmazonEKSServiceRolePolicy
<a name="security-iam-awsmanpol-amazoneksservicerolepolicy"></a>

您不得將 `AmazonEKSServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊，請參閱[Amazon EKS 的服務連結角色許可](using-service-linked-roles-eks.md#service-linked-role-permissions-eks)。使用具有 `iam:CreateServiceLinkedRole` 許可的 IAM 委託人建立叢集，即會為您自動建立 [AWSServiceRoleforAmazonEKS](using-service-linked-roles-eks.md#service-linked-role-permissions-eks) 服務連結角色且此政策會與此連接。

此政策允許服務連結角色代表您呼叫 AWS 服務。

 **許可詳細資訊** 

此政策包含下列允許 Amazon EKS 完成下列任務的許可。
+  ** `ec2` ** – 建立和描述建立叢集所需的彈性網路介面、Amazon EC2 執行個體及其狀態、叢集安全群組和 VPC。如需詳細資訊，請參閱[檢視叢集的 Amazon EKS 安全群組要求](sec-group-reqs.md)。讀取安全群組相關資訊。更新安全群組標籤。閱讀隨需容量保留的相關資訊。閱讀置放群組的相關資訊。讀取 VPC 組態，包括路由表和網路 ACLs，以在叢集洞察中偵測組態問題。
+  ** `ec2` 自動模式** – 終止 EKS 自動模式建立的 EC2 執行個體。如需詳細資訊，請參閱[利用 EKS 自動模式自動運作叢集基礎設施](automode.md)。
+  ** `iam` ** – 列出連接至 IAM 角色的所有受管政策。這是必要項目，以便 Amazon EKS 可以列出和驗證建立叢集所需的所有受管政策和許可。
+  **將 VPC 與託管區域建立關聯** – Amazon EKS 必須執行這項操作，才能為您的 Kubernetes 叢集 API 伺服器啟用私有端點聯網。
+  **Log event** (日誌事件) – 這是必要項目，以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
+  **放置指標** – 這是必要項目，以便 Amazon EKS 可以將 Kubernetes 控制平面日誌運送到 CloudWatch。
+  ** `eks` ** - 管理叢集對項目及政策的存取權，以便精細控制誰能存取 EKS 資源，及其可執行的動作。這包括在運算、聯網、負載平衡及儲存操作方面的關聯標準存取政策。
+  ** `elasticloadbalancing` ** - 建立、管理及刪除與 EKS 叢集關聯的負載平衡器及其元件 (接聽程式、目標群組、憑證)。檢視負載平衡器的屬性與運作狀態。
+  ** `events` ** - 建立和管理 EventBridge 規則，以監控與 EKS 叢集相關的 EC2 和 AWS 運作狀態事件，進而自動回應基礎設施變更和運作狀態提醒。
+  ** `iam` ** - 使用「eks」字首管理 EC2 執行個體描述檔，包括列出、建立、刪除和角色關聯，這是 EKS 節點管理所需的。允許描述任何執行個體描述檔，讓使用者能夠為其工作者節點定義要使用的自訂執行個體描述檔。
+  ** `pricing` ** ** `shield` ** - 存取 AWS 定價資訊和 Shield 保護狀態，為 EKS 資源啟用成本管理和進階安全功能。
+  **資源清理** - 在叢集清理操作期間，安全地刪除 EKS 標記的資源，包括磁碟區、快照、啟動範本，以及網路介面。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSServiceRolePolicy.html#AmazonEKSServiceRolePolicy-json)。

## AWS 受管政策：AmazonEKSVPCResourceController
<a name="security-iam-awsmanpol-amazoneksvpcresourcecontroller"></a>

您可將 `AmazonEKSVPCResourceController` 政策連接到 IAM 身分。如果您使用的是[適用於 Pod 的安全群組](security-groups-for-pods.md)，您必須將此政策連接至 [Amazon EKS 叢集 IAM 角色](cluster-iam-role.md)，以代表您執行動作。

此政策會授予叢集角色許可，以管理節點的彈性網路介面和 IP 地址。

 **許可詳細資訊** 

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `ec2` ** – 管理彈性網路介面和 IP 位址，以支援 Pod 安全群組和 Windows 節點。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSVPCResourceController](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSVPCResourceController.html#AmazonEKSVPCResourceController-json)。

## AWS 受管政策：AmazonEKSWorkerNodePolicy
<a name="security-iam-awsmanpol-amazoneksworkernodepolicy"></a>

您可以將 `AmazonEKSWorkerNodePolicy` 連接到 IAM 實體。您必須將此政策連接至您建立 Amazon EC2 節點時指定的 [IAM 角色](create-node-role.md)，從而可讓 Amazon EKS 代表您執行動作。如果您使用 `eksctl` 建立節點群組，則其會建立節點 IAM 角色並自動將此政策連接至角色。

此政策授予 Amazon EKS Amazon EC2 節點許可，以連接到 Amazon EKS 叢集。

 **許可詳細資訊** 

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `ec2` ** – 讀取執行個體磁碟區和網路資訊。如此一來，Kubernetes 節點才能描述節點加入 Amazon EKS 叢集所需的 Amazon EC2 資源相關資訊，這是必要的。
+  ** `eks` ** – 選擇性地將叢集描述為節點引導的一部分。
+  ** `eks-auth:AssumeRoleForPodIdentity` ** – 允許擷取節點上 EKS 工作負載的憑證。必須要有這項，EKS Pod 身分識別才能正常運作。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSWorkerNodePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodePolicy.html#AmazonEKSWorkerNodePolicy-json)。

## AWS 受管政策：AmazonEKSWorkerNodeMinimalPolicy
<a name="security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy"></a>

您無法將 AmazonEKSWorkerNodeMinimalPolicy 附加至您的 IAM 實體。您必須將此政策連接至您建立 Amazon EC2 節點時指定的 IAM 角色，從而可讓 Amazon EKS 代表您執行動作。

此政策授予 Amazon EKS Amazon EC2 節點許可，以連接到 Amazon EKS 叢集。此政策的許可比 AmazonEKSWorkerNodePolicy 少。

 **許可詳細資訊** 

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  `eks-auth:AssumeRoleForPodIdentity` – 允許擷取節點上 EKS 工作負載的憑證。必須要有這項，EKS Pod 身分識別才能正常運作。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSWorkerNodeMinimalPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSWorkerNodeMinimalPolicy.html#AmazonEKSWorkerNodeMinimalPolicy-json)。

## AWS 受管政策：AWSServiceRoleForAmazonEKSNodegroup
<a name="security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup"></a>

您不得將 `AWSServiceRoleForAmazonEKSNodegroup` 連接到 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊，請參閱[Amazon EKS 的服務連結角色許可](using-service-linked-roles-eks-nodegroups.md#service-linked-role-permissions-eks-nodegroups)。

此政策可授予 `AWSServiceRoleForAmazonEKSNodegroup` 角色許可，允許它在您的帳戶中建立和管理 Amazon EC2 節點群組。

 **許可詳細資訊** 

此政策包含下列許可，這些許可能讓 Amazon EKS 完成下列任務：
+  ** `ec2` ** – 使用安全群組、標籤、容量保留和啟動範本。Amazon EKS 受管節點群組必須使用該項來啟用遠端存取組態，以及描述可在受管節點群組使用的容量保留。此外，Amazon EKS 受管節點群組代表您建立啟動範本。這是為了設定支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。
+  ** `iam` ** – 建立服務連結角色並傳遞角色。Amazon EKS 受管節點群組必須執行這項操作，才能管理建立受管節點群組時所傳遞之角色的執行個體描述檔。此執行個體描述檔適用於作為受管節點群組一部分的 Amazon EC2 執行個體。Amazon EKS 需要為其他服務 (例如 Amazon EC2 Auto Scaling 群組) 建立服務連結角色。這些許可會用於建立受管節點群組。
+  ** `autoscaling` ** – 使用安全的 Auto Scaling 群組。Amazon EKS 受管節點群組必須執行這項操作，才能管理支援每個受管節點群組的 Amazon EC2 Auto Scaling 群組。它也用於支援功能，例如在節點群組更新期間終止或回收節點時移出 Pod，以及管理在受管節點群組上設定的暖集區。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AWSServiceRoleForAmazonEKSNodegroup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForAmazonEKSNodegroup.html#AWSServiceRoleForAmazonEKSNodegroup-json)。

## AWS 受管政策：AmazonEKSDashboardServiceRolePolicy
<a name="security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy"></a>

您不得將 `AmazonEKSDashboardServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色，而此角色可讓 Amazon EKS 代表您執行動作。如需詳細資訊，請參閱[Amazon EKS 的服務連結角色許可](using-service-linked-roles-eks-dashboard.md#service-linked-role-permissions-eks-dashboard)。

此政策會授予`AWSServiceRoleForAmazonEKSDashboard`角色許可，允許其檢視 Organizations AWS 結構和帳戶的相關資訊。

 **許可詳細資訊** 

此政策包括下列許可，用於提供完成下列任務的存取權：
+  ** `organizations` ** – 檢視 Organizations AWS 結構和帳戶的相關資訊。這包括下列各種許可：列示組織中的帳戶、檢視組織單位與根目錄、列示委派管理員、檢視可存取組織的服務，以及擷取組織與帳戶的詳細資訊。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSDashboardServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSDashboardServiceRolePolicy.html#AmazonEKSDashboardServiceRolePolicy-json)。

## AWS 受管政策：AmazonEBSCSIDriverPolicy
<a name="security-iam-awsmanpol-amazonebscsidriverservicerolepolicy"></a>

**重要**  
提供兩種新的 AWS受管 IAM 政策，可提供更嚴格的許可範圍：適用於標籤型範圍的 [AmazonEBSCSIDriverPolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2)，或適用於叢集範圍隔離的 [AmazonEBSCSIDriverEKSClusterScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy)。如果有興趣遷移，請參閱 [EBS CSI 驅動程式政策遷移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。

此`AmazonEBSCSIDriverPolicy`政策允許 Amazon EBS 容器儲存介面 (CSI) 驅動程式代表您建立、修改、複製、連接、分離和刪除磁碟區。這包括修改現有磁碟區的標籤，以及在 EBS 磁碟區上啟用快速快照還原 (FSR)。它還授予 EBS CSI 驅動程式建立、鎖定、還原和刪除快照，以及列出執行個體、磁碟區和快照的許可。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEBSCSIDriverServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html#AmazonEBSCSIDriverPolicy-json)。

## AWS 受管政策：AmazonEBSCSIDriverPolicyV2
<a name="security-iam-awsmanpol-amazonebscsidriverpolicyv2"></a>

`AmazonEBSCSIDriverPolicyV2` 政策是 更嚴格的替代方案`AmazonEBSCSIDriverPolicy`。它將 Amazon EBS CSI 驅動程式限制為僅管理以金鑰`ebs.csi.aws.com/cluster`設定為 標記的 EBS 磁碟區和快照`true`。資源`kubernetes.io/created-for/pvc/name`標籤也支援樹狀內 Kubernetes 磁碟區外掛程式 (CSI 遷移磁碟區） 佈建的磁碟區。

如果從 遷移`AmazonEBSCSIDriverPolicy`，請參閱 [EBS CSI 驅動程式政策遷移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEBSCSIDriverPolicyV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html#AmazonEBSCSIDriverPolicyV2-json)。

## AWS 受管政策：AmazonEBSCSIDriverEKSClusterScopedPolicy
<a name="security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy"></a>

此`AmazonEBSCSIDriverEKSClusterScopedPolicy`政策限制 Amazon EBS CSI 驅動程式僅管理屬於特定 EKS 叢集的 EBS 磁碟區和快照。它需要資源標籤`ebs.csi.aws.com/cluster-name`才能符合 IAM 主體上的`eks-cluster-name`標籤，防止多個叢集共用相同 AWS 帳戶時跨叢集存取。執行個體上的連接和分離操作僅限於以 `eks:cluster-name`標籤 （由受管節點群組上的 EKS 自動設定） 或 `ebs.csi.aws.com/cluster-name` 標籤 （適用於手動標記的執行個體） 標記的執行個體。

如果從 遷移`AmazonEBSCSIDriverPolicy`，請參閱 [EBS CSI 驅動程式政策遷移](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918)。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEBSCSIDriverEKSClusterScopedPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html#AmazonEBSCSIDriverEKSClusterScopedPolicy-json)。

## AWS 受管政策：AmazonEFSCSIDriverPolicy
<a name="security-iam-awsmanpol-amazonefscsidriverservicerolepolicy"></a>

`AmazonEFSCSIDriverPolicy` 政策可讓 Amazon EFS 容器儲存介面 (CSI) 代表您建立和刪除存取點。它還授予 Amazon EFS CSI 驅動程式許可，以列出您的存取點、檔案系統、掛載目標和 Amazon EC2 可用區域。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonEFSCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html#AmazonEFSCSIDriverPolicy-json)。

## AWS 受管政策：AmazonS3FilesCSIDriverPolicy
<a name="security-iam-awsmanpol-amazons3filescsidriverservicerolepolicy"></a>

此`AmazonS3FilesCSIDriverPolicy`政策允許 Amazon EFS 容器儲存界面 (CSI) 代表您建立和刪除 Amazon S3 檔案存取點。它還授予 Amazon EFS CSI 驅動程式許可，以列出您的 Amazon S3 檔案存取點和檔案系統。

若要檢視最新版本的 JSON 政策文件，請參閱《 AWS 受管政策參考指南》中的 [AmazonS3FilesCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html#AmazonS3FilesCSIDriverPolicy-json)。

## AWS 受管政策：AmazonEKSLocalOutpostClusterPolicy
<a name="security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy"></a>

您可將此政策連接至 IAM 實體。建立本機叢集之前，您必須將此政策連接至您的[叢集角色](cluster-iam-role.md)。由 Amazon EKS 管理的 Kubernetes 叢集會代表您呼叫其他 AWS 服務。他們會執行此作業，以管理您搭配本服務使用的資源。

`AmazonEKSLocalOutpostClusterPolicy` 包含以下許可：
+  ** `ec2` 讀取動作** – 允許控制平面執行個體描述可用區域、路由表、執行個體，以及網路介面屬性。Amazon EC2 執行個體作為控制平面執行個體成功加入叢集所需的許可。
+  ** `ssm` ** – 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體，Amazon EKS 會使用該連線進行通訊並管理帳戶中的本機叢集。
+  ** `logs` ** – 允許執行個體將日誌推送至 Amazon CloudWatch。
+  ** `secretsmanager` ** – 允許執行個體從 AWS Secrets Manager 安全地取得和刪除控制平面執行個體的引導資料。
+  ** `ecr` ** – 允許在控制平面執行個體上執行的 Pod 和容器提取存放在 Amazon Elastic Container Registry 中的容器映像。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSLocalOutpostClusterPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostClusterPolicy.html#AmazonEKSLocalOutpostClusterPolicy-json)。

## AWS 受管政策：AmazonEKSLocalOutpostServiceRolePolicy
<a name="security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy"></a>

您無法將此政策連接至 IAM 實體。使用具有 `iam:CreateServiceLinkedRole` 許可的 IAM 主體建立叢集時，Amazon EKS 會為您自動建立 [AWSServiceRoleforAmazonEKSLocalOutpost](using-service-linked-roles-eks-outpost.md) 服務連結角色且此政策會與此連接。此政策允許服務連結角色代表您為本機叢集呼叫 AWS 服務。

`AmazonEKSLocalOutpostServiceRolePolicy` 包含以下許可：
+  ** `ec2` ** – 允許 Amazon EKS 使用安全功能、網路和其他資源，成功啟動並管理帳戶中的控制平面執行個體。
+  ** `ssm`、`ssmmessages` ** – 允許 Amazon EC2 Systems Manager 連線至控制平面執行個體，Amazon EKS 會使用該連線進行通訊並管理帳戶中的本機叢集。
+  ** `iam` ** – 允許 Amazon EKS 管理與控制平面執行個體相關聯的執行個體設定檔。
+  ** `secretsmanager` ** - 允許 Amazon EKS 將控制平面執行個體的引導資料放入 AWS Secrets Manager，以便在執行個體引導期間安全地參考。
+  ** `outposts` ** – 允許 Amazon EKS 從您的帳戶取得 Outpost 資訊，以在 Outpost 中成功啟動本機叢集。

若要檢視 JSON 政策文件的最新版本，請參閱《 AWS 受管政策參考指南》中的 [AmazonEKSLocalOutpostServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKSLocalOutpostServiceRolePolicy.html#AmazonEKSLocalOutpostServiceRolePolicy-json)。

## AWS 受管政策的 Amazon EKS 更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤 Amazon EKS AWS 受管政策更新以來的詳細資訊。

如需接收有關此特定文件頁面所有來源檔案變更的通知，您可透過 RSS 閱讀器來訂閱以下 URL：

```
https://github.com/awsdocs/amazon-eks-user-guide/commits/mainline/latest/ug/security/iam-reference/security-iam-awsmanpol.adoc.atom
```


| 變更 | 描述 | Date | 
| --- | --- | --- | 
| 新增了許可至 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy)。 | 新增 API 動作`ec2:DescribeInstanceTypes`，讓 EBS CSI 驅動程式在執行時間動態擷取磁碟區限制/卡片資訊。 | 2026 年 5 月 12 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | 在 中新增`elasticloadbalancing:DescribeLoadBalancers`許可`AmazonEKSLoadBalancingPolicy`，以允許 Amazon EKS 自動模式控制器描述 LoadBalancer | 2026 年 4 月 27 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | 在 中新增`elasticloadbalancing:DescribeCapacityReservation`許可`AmazonEKSLoadBalancingPolicy`，以允許 Amazon EKS 自動模式控制器描述 LoadBalancer 容量單位 | 2026 年 4 月 20 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | 在 中新增 `ec2:DescribeInstanceStatus`和 `iam:ListInstanceProfiles`許可`AmazonEKSServiceRolePolicy`。這些許可允許 Amazon EKS Auto Mode 探索受管執行個體的 EC2 運作狀態事件，並清除受管執行個體設定檔 | 2026 年 4 月 20 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 | 更新 `ec2:RunInstances`和 `ec2:CreateFleet`動作的資源許可，以包含置放群組 ` arn:aws: ec2:*:*:placement-group/*`。這可讓 Amazon EKS Auto 模式在帳戶中的 EC2 置放群組中啟動執行個體。 | 2026 年 4 月 17 日 | 
| 推出 [AmazonEBSCSIDriverPolicyV2](#security-iam-awsmanpol-amazonebscsidriverpolicyv2) 和 [AmazonEBSCSIDriverEKSClusterScopedPolicy](#security-iam-awsmanpol-amazonebscsidrivereksclusterscopedpolicy)。 | 引進 `AmazonEBSCSIDriverPolicyV2`和 `AmazonEBSCSIDriverEKSClusterScopedPolicy`作為 更嚴格的替代方案`AmazonEBSCSIDriverPolicy`。 會將 EBS CSI 驅動程式`AmazonEBSCSIDriverPolicyV2`範圍限定為標記為 `ebs.csi.aws.com/cluster` 的磁碟區和快照`true`。 會使用 `ebs.csi.aws.com/cluster-name`標籤將驅動程式`AmazonEBSCSIDriverEKSClusterScopedPolicy`範圍限定為屬於特定 EKS 叢集的磁碟區和快照。 | 2026 年 4 月 16 日 | 
| 新增了許可至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 新增允許 Amazon EKS Auto 模式在帳戶中的 EC2 置放群組中啟動執行個體的`ec2:DescribePlacementGroups`許可。 | 2026 年 4 月 15 日 | 
| 已更新許可至 [AWS 受管政策：AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 已更新 `shield:CreateProtection`， 中的`shield:DeleteProtection`許可`AmazonEKSLoadBalancingPolicy`。這可讓 Amazon EKS 自動模式控制器新增防護。 | 2026 年 4 月 14 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 更新 中的`elasticloadbalancing:RegisterTargets`許可`AmazonEKSLoadBalancingPolicy`，以新增對多叢集和自訂目標群組繫結關係的支援 | 2026 年 3 月 20 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 在 中新增`elasticloadbalancing:ModifyIpPools`許可`AmazonEKSLoadBalancingPolicy`，以新增設定 ALB IPAM 集區的支援 | 2026 年 3 月 20 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSNetworkingPolicy](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy)。 | 在 中新增`ec2:ModifyNetworkInterfaceAttribute`許可`AmazonEKSNetworkingPolicy`。這可讓 Amazon EKS 自動模式控制器修改與 EC2 執行個體相關的網路介面屬性 | 2026 年 2 月 3 日 | 
| 新增了許可至 [AWS 受管政策：AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 已將 `autoscaling:PutWarmPool`、 `autoscaling:DeleteWarmPool`和 `autoscaling:DescribeWarmPool`許可新增至 `AWSServiceRoleForAmazonEKSNodegroup`。這可讓 Amazon EKS 受管節點群組在整個節點群組生命週期中管理基礎 ASG 暖集區資源。 | 2026 年 2 月 17 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 針對 中的`iam:GetInstanceProfile`許可，移除目標執行個體描述檔名稱中的「eks」字首需求`AmazonEKSServiceRolePolicy`。這可讓 Amazon EKS Auto Mode 驗證和使用 NodeClasses 中的自訂執行個體描述檔，而不需要「eks」命名字首。 | 2026 年 2 月 2 日 | 
| 新增了許可至 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy)。 | 新增允許 EBS CSI 驅動程式直接鎖定 EBS 快照的`ec2:LockSnapshot`許可。 | 2026 年 1 月 15 日 | 
| 推出了 [AWS 受管政策：AmazonEKSMCPReadOnlyAccess](#security-iam-awsmanpol-amazoneksmcpreadonlyaccess)。 | Amazon EKS 推出了新的受管政策`AmazonEKSMCPReadOnlyAccess`，以在 Amazon EKS MCP Server 中啟用唯讀工具，以實現可觀測性和故障診斷。 | 2025 年 11 月 21 日 | 
| 新增了許可至 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy)。 | 新增允許 EBS CSI 驅動程式直接複製 EBS 磁碟區的`ec2:CopyVolumes`許可。 | 2025 年 11 月 17 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 新增 `ec2:DescribeRouteTables`和 `ec2:DescribeNetworkAcls` 許可至 `AmazonEKSServiceRolePolicy`。這可讓 Amazon EKS 在叢集洞察中偵測混合節點的 VPC 路由表和網路 ACLs 的組態問題。 | 2025 年 10 月 22 日 | 
| 新增對 [AWSServiceRoleForAmazonEKSConnector](using-service-linked-roles-eks-connector.md) 的許可  | 新增`ssmmessages:OpenDataChannel`許可至 `AmazonEKSConnectorServiceRolePolicy`  | 2025 年 10 月 15 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)  | 此角色可連接全新存取政策 `AmazonEKSEventPolicy`。`ec2:DeleteLaunchTemplate` 與 `ec2:TerminateInstances` 的限制許可。 | 2025 年 8 月 26 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy)  | 新增了 `ssmmessages:OpenDataChannel` 許可至 `AmazonEKSLocalOutpostServiceRolePolicy`。 | 2025 年 6 月 26 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 | 更新了 `ec2:RunInstances` 與 `ec2:CreateFleet` 動作的資源許可，以包括容量保留 ` arn:aws: ec2:*:*:capacity-reservation/*`。這樣一來，Amazon EKS 自動模式可使用帳戶中的 EC2 隨需容量保留來啟動執行個體。新增了 `iam:CreateServiceLinkedRole`，以允許 Amazon EKS 自動模式代您建立 EC2 Spot 服務連結角色 `AWSServiceRoleForEC2Spot`。 | 2025 年 6 月 20 日 | 
| 新增了許可至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 新增了 `ec2:DescribeCapacityReservations` 許可，以允許 Amazon EKS 自動模式使用帳戶中的 EC2 隨需容量保留來啟動執行個體。 | 2025 年 6 月 20 日 | 
| 推出了 [AWS 受管政策：AmazonEKSDashboardConsoleReadOnly](#security-iam-awsmanpol-amazoneksdashboardconsolereadonly)。 | 推出了全新 `AmazonEKSDashboardConsoleReadOnly` 政策。 | 2025 年 6 月 19 日 | 
| 推出了 [AWS 受管政策：AmazonEKSDashboardServiceRolePolicy](#security-iam-awsmanpol-AmazonEKSDashboardServiceRolePolicy)。 | 推出了全新 `AmazonEKSDashboardServiceRolePolicy` 政策。 | 2025 年 5 月 21 日 | 
| 已新增許可至 [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy)。 | 新增了 `ec2:DeleteNetworkInterfaces` 許可，以允許 Amazon EKS 在 VPC CNI 在非預期退出的情況下，刪除留下的彈性網路介面。 | 2025 年 4 月 16 日 | 
| 新增了許可至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 作為 EKS 1.33 發行版本的一部分，新增了 `ec2:RevokeSecurityGroupEgress` 與 `ec2:AuthorizeSecurityGroupEgress` 許可，以允許 EKS AI/ML 客戶新增安全群組輸出規則至與 EFA 相容的預設 EKS 叢集 SG。 | 2025 年 4 月 14 日 | 
| 新增了許可至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 新增了許可，以終止 EKS 自動模式建立的 EC2 執行個體。 | 2025 年 2 月 28 日 | 
| 新增了許可至 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy)。 | 新增了新的陳述式，來授權 EBS CSI 驅動程式還原所有快照。現有的政策之前允許此操作，但由於 `CreateVolume` 對 IAM 的處理有所變更，因此，需要新的明確的陳述式。<br />新增了 EBS CSI 驅動程式在現有磁碟區上修改標籤的功能。EBS CSI 驅動程式可透過 Kubernetes VolumeAttributesClasses 中的參數，來修改現有磁碟區的標籤。<br />新增了 EBS CSI 驅動程式在 EBS 磁碟區上啟用快速快照還原 (FSR) 的功能。藉助 EBS CSI 驅動程式，可透過 Kubernetes 儲存類別中的參數在新的磁碟區上啟用 FSR。 | 2025 年 1 月 13 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 | 更新了 `AmazonEKSLoadBalancingPolicy`，以允許列示與描述聯網及 IP 位址資源。 | 2024 年 12 月 26 日 | 
| 新增了許可至 [AWS 受管政策：AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 更新了 `AWSServiceRoleForAmazonEKSNodegroup`，以適用於中國區域。 | 2024 年 11 月 22 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy)  | 新增 `ec2:DescribeAvailabilityZones`的許可，`AmazonEKSLocalOutpostClusterPolicy`讓叢集控制平面上的 AWS Cloud Controller Manager 可以識別每個節點所在的可用區域。 | 2024 年 11 月 21 日 | 
| 新增了許可至 [AWS 受管政策：AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 更新了 `AWSServiceRoleForAmazonEKSNodegroup` 政策，以允許透過 Amazon EKS 受管節點群組建立的執行個體的 `ec2:RebootInstances`。限制了針對 Amazon EC2 資源的 `ec2:CreateTags` 許可。 | 2024 年 11 月 20 日 | 
| 新增了許可至 [AWS 受管政策：AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | EKS 已更新 AWS 受管政策 `AmazonEKSServiceRolePolicy`。新增了針對下列各項的許可：EKS 存取政策、負載平衡器管理，以及自動化叢集資源清理。 | 2024 年 11 月 16 日 | 
| 推出了 [AWS 受管政策：AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 | EKS 已更新 AWS 受管政策 `AmazonEKSComputePolicy`。更新了針對 `iam:AddRoleToInstanceProfile` 動作的資源許可。 | 2024 年 11 月 7 日 | 
| 推出了 [AWS 受管政策：AmazonEKSComputePolicy](#security-iam-awsmanpol-AmazonEKSComputePolicy)。 |  AWS 推出 `AmazonEKSComputePolicy`。 | 2024 年 11 月 1 日 | 
| 新增了許可至 `AmazonEKSClusterPolicy`  | 新增了 `ec2:DescribeInstanceTopology` 許可，以允許 Amazon EKS 將拓撲資訊作為標籤連接至節點。 | 2024 年 11 月 1 日 | 
| 推出了 [AWS 受管政策：AmazonEKSBlockStoragePolicy](#security-iam-awsmanpol-AmazonEKSBlockStoragePolicy)。 |  AWS 推出 `AmazonEKSBlockStoragePolicy`。 | 2024 年 10 月 30 日 | 
| 推出了 [AWS 受管政策：AmazonEKSLoadBalancingPolicy](#security-iam-awsmanpol-AmazonEKSLoadBalancingPolicy)。 |  AWS 推出 `AmazonEKSLoadBalancingPolicy`。 | 2024 年 10 月 30 日 | 
| 新增了許可至 [AmazonEKSServiceRolePolicy](#security-iam-awsmanpol-amazoneksservicerolepolicy)。 | 新增了 `cloudwatch:PutMetricData` 許可，以允許 Amazon EKS 發布指標至 Amazon CloudWatch。 | 2024 年 10 月 29 日 | 
| 推出了 [AWS 受管政策：AmazonEKSNetworkingPolicy](#security-iam-awsmanpol-AmazonEKSNetworkingPolicy)。 |  AWS 推出 `AmazonEKSNetworkingPolicy`。 | 2024 年 10 月 28 日 | 
| 新增了許可至 `AmazonEKSServicePolicy` 和 `AmazonEKSServiceRolePolicy`  | 新增了 `ec2:GetSecurityGroupsForVpc` 及關聯的標籤許可，以允許 EKS 讀取安全群組資訊及更新相關標籤。 | 2024 年 10 月 10 日 | 
| 推出了 [AmazonEKSWorkerNodeMinimalPolicy](#security-iam-awsmanpol-AmazonEKSWorkerNodeMinimalPolicy)。 |  AWS 推出 `AmazonEKSWorkerNodeMinimalPolicy`。 | 2024 年 10 月 3 日 | 
| 已新增許可至 [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 新增了 `autoscaling:ResumeProcesses` 及 `autoscaling:SuspendProcesses` 許可，以允許 Amazon EKS 在 Amazon EKS 受管 Auto Scaling 群組中暫停及恢復 `AZRebalance`。 | 2024 年 8 月 21 日 | 
| 已新增許可至 [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 新增了 `ec2:DescribeCapacityReservations` 許可，以允許 Amazon EKS 描述使用者帳戶中容量保留。新增了 `autoscaling:PutScheduledUpdateGroupAction` 許可，以支援在 `CAPACITY_BLOCK` 節點群組設定排程擴展。 | 2024 年 6 月 27 日 | 
|  [AmazonEKS\_CNI\_Policy](#security-iam-awsmanpol-amazoneks-cni-policy) – 更新至現有的政策 | Amazon EKS 新增了全新的 `ec2:DescribeSubnets` 許可，以允許適用於 Kubernetes 的 Amazon VPC CNI 外掛程式查看 Amazon VPC 子網路中的空閒 IP 位址數量。VPC CNI 可使用每個子網路中空閒的 IP 位址，選擇建立彈性網路介面時，使用最空閒 IP 位址的子網路。 | 2024 年 3 月 4 日 | 
|  [AmazonEKSWorkerNodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy) – 更新至現有政策 | Amazon EKS 新增了新的許可來允許 EKS Pod 身分識別。Amazon EKS Pod 身分識別代理程式使用節點角色。 | 2023 年 11 月 26 日 | 
| 引進 [AmazonEFSCSIDriverPolicy](#security-iam-awsmanpol-amazonefscsidriverservicerolepolicy)。 |  AWS 推出 `AmazonEFSCSIDriverPolicy`。 | 2023 年 7 月 26 日 | 
| 已新增許可至 [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy)。 | 在建立負載平衡器時，新增允許 Amazon EKS 在子網路自動探索期間取得 AZ 詳細資訊的 `ec2:DescribeAvailabilityZones` 許可。 | 2023 年 2 月 7 日 | 
| 已更新 [AmazonEBSCSIDriverPolicy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) 中的政策條件。 | 已移除在 `StringLike` 金鑰欄位中使用萬用字元的無效政策條件。也已將新條件 `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` 新增至 `ec2:DeleteVolume`，允許 EBS CSI 驅動程式刪除由樹狀內外掛程式建立的磁碟區。 | 2022 年 11 月 17 日 | 
| 已新增許可至 [AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy)。 | 已新增 `ec2:DescribeVPCAttribute`、`ec2:GetConsoleOutput` 和 `ec2:DescribeSecret`，以允許更好的先決條件驗證和受管生命週期控制。還將 `ec2:DescribePlacementGroups` 和 `"arn:aws: ec2:*:*:placement-group/*"` 新增至 `ec2:RunInstances`，以支援 Outposts 上的控制平面 Amazon EC2 執行個體的置放控制。 | 2022 年 10 月 24 日 | 
| 更新 [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy) 中的 Amazon Elastic Container Registry 許可。 | 已將動作 `ecr:GetDownloadUrlForLayer` 從所有資源區段移至限定範圍區段。已新增資源 ` arn:aws: ecr:*:*:repository/eks/ `。已移除資源 ` arn:aws: ecr:`。新增的 ` arn:aws: ecr:*:*:repository/eks/*` 資源涵蓋此資源。 | 2022 年 10 月 20 日 | 
| 已新增許可至 [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy)。 | 已新增 ` arn:aws: ecr:*:*:repository/kubelet-config-updater` Amazon Elastic Container Registry 儲存庫，以便叢集控制平面執行個體可以更新部分 `kubelet` 引數。 | 2022 年 8 月 31 日 | 
| 已引進 [AmazonEKSLocalOutpostClusterPolicy](#security-iam-awsmanpol-amazonekslocaloutpostclusterpolicy)。 |  AWS 推出 `AmazonEKSLocalOutpostClusterPolicy`。 | 2022 年 8 月 24 日 | 
| 已引進 [AmazonEKSLocalOutpostServiceRolePolicy](#security-iam-awsmanpol-amazonekslocaloutpostservicerolepolicy). |  AWS 推出 `AmazonEKSLocalOutpostServiceRolePolicy`。 | 2022 年 8 月 23 日 | 
| 引進 [Amazon EBS CSI Driver Policy](#security-iam-awsmanpol-amazonebscsidriverservicerolepolicy) (Amazon EBS CSI 驅動程式政策)。 |  AWS 推出 `AmazonEBSCSIDriverPolicy`。 | 2022 年 4 月 4 日 | 
| 已新增許可至 [AmazonEKSWorkerNodePolicy](#security-iam-awsmanpol-amazoneksworkernodepolicy)。 | 已新增 `ec2:DescribeInstanceTypes` 以啟用可自動發現發現執行個體層級屬性的 Amazon EKS 最佳化 AMI。 | 2022 年 3 月 21 日 | 
| 已新增許可至 [AWSServiceRoleForAmazonEKSNodegroup](#security-iam-awsmanpol-awsserviceroleforamazoneksnodegroup)。 | 已新增 `autoscaling:EnableMetricsCollection` 許可以允許 Amazon EKS 啟用指標收集。 | 2021 年 12 月 13 日 | 
| 已新增許可至 [AmazonEKSClusterPolicy](#security-iam-awsmanpol-amazoneksclusterpolicy)。 | 已新增 `ec2:DescribeAccountAttributes`、`ec2:DescribeAddresses` 以及 `ec2:DescribeInternetGateways` 許可，以允許 Amazon EKS 為 Network Load Balancer 建立服務連結角色。 | 2021 年 6 月 17 日 | 
| Amazon EKS 已開始追蹤變更。 | Amazon EKS 開始追蹤其 AWS 受管政策的變更。 | 2021 年 6 月 17 日 |