Questa documentazione si riferisce alla versione attuale di GKE su AWS, rilasciata a novembre 2021. Consulta le Note di rilascio per ulteriori informazioni.

Questa pagina è stata tradotta dall'API Cloud Translation.

Elenco dei ruoli AWS IAM

Le tabelle in questa pagina elencano tutte le autorizzazioni utilizzate per creare i ruoli AWS IAM predefiniti. Per creare questi criteri con le autorizzazioni predefinite, consulta Creare ruoli AWS IAM.

Ruolo agente di servizio API GKE Multi-Cloud: L'API GKE Multi-Cloud utilizza questo ruolo AWS IAM per gestire le risorse mediante le API AWS. Questo ruolo è utilizzato da un account di servizio gestito da Google noto come agente di servizio.
Ruolo AWS IAM del piano di controllo: Il piano di controllo del cluster utilizza questo ruolo per controllare i pool di nodi.
Ruolo AWS IAM del pool di nodi: Il piano di controllo utilizza questo ruolo per creare VM del pool di nodi.

A seconda dei requisiti della tua organizzazione, puoi scegliere di creare criteri AWS IAM personalizzati per GKE su AWS per gestire i tuoi cluster. Questi criteri sostituiranno le versioni predefinite. Successivamente, potrai applicare questi criteri ai ruoli AWS IAM e fornirli quando crei un cluster.

Per ulteriori informazioni sullo scopo di ciascun ruolo, consulta Ruoli AWS IAM per GKE su AWS.

Per creare i criteri, scegli il livello a cui vuoi limitare le risorse. Ad esempio, puoi limitare un criterio a un particolare VPC AWS utilizzando l'Amazon Resource Name (ARN) del VPC. Per ulteriori informazioni, consulta Controllo dell'accesso alle risorse AWS utilizzando i criteri.

Criteri IAM per gli agenti di servizio GKE Multi-Cloud

Tipo di risorsa	ARN	Autorizzazione richiesta	Finalità	Riferimento
Gruppo di sicurezza	`arn:aws:ec2:::security-group/sg-*`	`ec2:DescribeSecurityGroups` (Crea, Aggiorna, Elimina) `ec2:CreateSecurityGroup` (Crea) `ec2:CreateTags` (Crea) `ec2:RevokeSecurityGroupEgress` (Crea) `ec2:DeleteSecurityGroup` (Elimina)	Gruppo di sicurezza del piano di controllo
Gruppo di sicurezza	`arn:aws:ec2:::security-group/sg-*`		Gruppo di sicurezza del pool di nodi
Regola del gruppo di sicurezza	`arn:aws:ec2:::security-group-rule/sgr-*`	`ec2:AuthorizeSecurityGroupEgress` (Crea) `ec2:RevokeSecurityGroupEgress` (Elimina) `ec2:CreateTags` (Crea)	Regola del gruppo di sicurezza in uscita dal piano di controllo
Regola del gruppo di sicurezza		`ec2:AuthorizeSecurityGroupIngress` (Crea) `ec2:RevokeSecurityGroupIngress` (Elimina) `ec2:CreateTags` (Crea)	Regola del gruppo di sicurezza in entrata del piano di controllo
Regola del gruppo di sicurezza		`ec2:AuthorizeSecurityGroupEgress` (Crea) `ec2:RevokeSecurityGroupEgress` (Elimina) `ec2:CreateTags` (Crea)	Regola del gruppo di sicurezza in uscita dal piano di controllo
Regola del gruppo di sicurezza		`ec2:AuthorizeSecurityGroupIngress` (Crea) `ec2:RevokeSecurityGroupIngress` (Elimina) `ec2:CreateTags` (Crea)	Regola del gruppo di sicurezza in entrata del piano di controllo
Bilanciatore del carico di rete	`arn:aws:elasticloadbalancing:::loadbalancer/net/gke-*`	`elasticloadbalancing:DescribeLoadBalancers` (Crea, Elimina) `elasticloadbalancing:CreateLoadBalancer` (Crea) `ec2:CreateSecurityGroup` (Crea) `ec2:DescribeAccountAttributes` (Crea) `ec2:DescribeInternetGateways` (Crea) `ec2:DescribeSecurityGroups` (Crea) `ec2:DescribeSubnets` (Crea) `ec2:DescribeVpcs` (Crea) `iam:CreateServiceLinkedRole` (Crea) `elasticloadbalancing:DeleteLoadBalancer` (Elimina)	Bilanciatore del carico api-server Kubernetes	Autorizzazioni dell'API Elastic Load Balancing
Gruppo target	`arn:aws:elasticloadbalancing:::targetgroup/gke-*`	`elasticloadbalancing:DescribeTargetGroups` (Crea, Aggiorna, Elimina) `elasticloadbalancing:DescribeTargetHealth` (Crea, Aggiorna) `elasticloadbalancing:CreateTargetGroup` (Crea) `elasticloadbalancing:ModifyTargetGroupAttributes` (Crea) `ec2:DescribeInternetGateways` (Crea) `ec2:DescribeVpcs` (Crea) `elasticloadbalancing:DeleteTargetGroup` (Elimina)	Gruppo di destinazione per https	Autorizzazioni dell'API Elastic Load Balancing
Gruppo target	`arn:aws:elasticloadbalancing:::targetgroup/gke-*`		Gruppo di destinazione per https per agente Konnectivity
Listener	`arn:aws:elasticloadbalancing:::listener/net/gke-*`	`elasticloadbalancing:CreateListener` (Crea) `elasticloadbalancing:DeleteListener` (Elimina) `elasticloadbalancing:DescribeListeners` (Elimina) `elasticloadbalancing:DeleteListener` (Elimina)	Listener per https
Listener	`arn:aws:elasticloadbalancing:::listener/net/gke-*`		Listener di https per agente konnectivity
Volume	`arn:aws:ec2:::volume/vol-*`	`ec2:CreateVolume` (Crea) `ec2:CreateTags` (Crea) `ec2:DeleteVolume` (Elimina)	volumi etcd
Interfaccia di rete	`arn:aws:ec2:::network-interface/eni-*`	`ec2:DescribeNetworkInterfaces` Aggiornamento `ec2:CreateNetworkInterface` (Crea) `ec2:CreateTags` (Crea) `ec2:ModifyNetworkInterfaceAttribute` (Aggiorna) `ec2:DeleteNetworkInterface` (Elimina)	NIC etcd
Modello di lancio	`arn:aws:ec2:::launch-template/lt-*`	`ec2:CreateLaunchTemplate` (Crea, Aggiorna) `ec2:CreateTags` (Crea, Aggiorna) `ec2:DeleteLaunchTemplate` (Elimina)	Avvia modello per le istanze del piano di controllo
Modello di lancio	`arn:aws:ec2:::launch-template/lt-*`		Avvia modello per le istanze del pool di nodi
Gruppo di scalabilità automatica	`arn:aws:autoscaling:::autoScalingGroup::autoScalingGroupName/gke-`	`autoscaling:DescribeAutoScalingGroups` (Crea, Aggiorna, Elimina) `autoscaling:CreateAutoScalingGroup` (Crea) `autoscaling:CreateOrUpdateTags` (Aggiorna) `autoscaling:UpdateAutoScalingGroup` (Aggiorna, Elimina) `autoscaling:TerminateInstanceInAutoScalingGroup` (Aggiorna) `autoscaling:DeleteTags` Aggiorna, (Elimina) `autoscaling:DeleteAutoScalingGroup` (Elimina) `iam:CreateServiceLinkedRole` (Crea) `ec2:RunInstances` (Crea) `iam:PassRole` (Crea)	gruppi di scalabilità automatica per le istanze del piano di controllo	Autorizzazioni API richieste per Amazon EC2 Auto Scaling
Gruppo di scalabilità automatica	`arn:aws:autoscaling:::autoScalingGroup::autoScalingGroupName/gke-`		gruppi di scalabilità automatica per le istanze del pool di nodi	Autorizzazioni richieste per creare un ruolo collegato al servizio
Coppie di chiavi EC2		`ec2:DescribeKeyPairs` (Crea)	a garantire che esista la coppia di chiavi EC2 utilizzata per accedere alle macchine cluster.
Subnet		`ec2:DescribeSubnets` (Crea)		Accesso a subnet aggiuntive nel VPC
VPC		`ec2:DescribeVpcs` (Crea)		Informazioni sul VPC AWS
Output console EC2		`ec2:GetConsoleOutput` (Crea, Aggiorna)	Verifica la presenza di errori nei log della console
Chiave KMS		`For more information on KMS key policies for GKE on AWS Creating KMS keys with specific permissions`

Criterio IAM per il ruolo del piano di controllo

Finalità	Autorizzazione richiesta	Riferimento
gestore della scalabilità automatica dei cluster	`autoscaling:DescribeAutoScalingGroups` (Crea, Aggiorna) `autoscaling:DescribeAutoScalingInstances` (Crea, Aggiorna) `autoscaling:DescribeLaunchConfigurations` (Crea, Aggiorna) `autoscaling:DescribeTags` (Crea, Aggiorna) `ec2:DescribeInstanceTypes` (Crea, Aggiorna) `ec2:DescribeLaunchTemplateVersions` (Crea, Aggiorna) `autoscaling:SetDesiredCapacity` `autoscaling:TerminateInstanceInAutoScalingGroup`	`https://github.com/kubernetes/autoscaler/blob/master/cluster-autoscaler/cloudprovider/aws/README.md`
gestore della scalabilità automatica dei cluster
provider-cloud-aws	{4 /} {4 /} {4 /} {4 /} {4 /} {4 /} {4 /} {4 /} {4 /} {4 /} {2/3 /} {4 /} {4/ /} {4/ /} {4/ /} {4/ /} {4 /} {4/ /} {4/ /} {4/ /} {4/ /} {4/ /} {1/ /} {1/ /} {1/ /} `ec2:ModifyVolume` `ec2:AttachVolume` (creazione) `ec2:AuthorizeSecurityGroupIngress` `ec2:CreateRoute` `ec2:DeleteRouteautoscaling:DescribeAutoScalingGroups` `autoscaling:DescribeLaunchConfigurationsautoscaling:DescribeTagsec2:DescribeInstancesec2:DescribeRegionsec2:DescribeRouteTablesec2:DescribeSecurityGroupsec2:DescribeSubnetsec2:DescribeVolumesec2:CreateSecurityGroupec2:CreateTagsec2:CreateVolumeec2:ModifyInstanceAttributeec2:DeleteSecurityGroupec2:DeleteVolumeec2:DetachVolumeec2:RevokeSecurityGroupIngressec2:DescribeVpcselasticloadbalancing:AddTagselasticloadbalancing:AddTagselasticloadbalancing:AttachLoadBalancerToSubnetselasticloadbalancing:ApplySecurityGroupsToLoadBalancerelasticloadbalancing:CreateLoadBalancerelasticloadbalancing:CreateLoadBalancerPolicyelasticloadbalancing:CreateLoadBalancerListenerselasticloadbalancing:ConfigureHealthCheckelasticloadbalancing:DeleteLoadBalancerelasticloadbalancing:DeleteLoadBalancerListenerselasticloadbalancing:DescribeLoadBalancerselasticloadbalancing:DescribeLoadBalancerAttributeselasticloadbalancing:DetachLoadBalancerFromSubnetselasticloadbalancing:DeregisterInstancesFromLoadBalancerelasticloadbalancing:ModifyLoadBalancerAttributeselasticloadbalancing:RegisterInstancesWithLoadBalancerelasticloadbalancing:SetLoadBalancerPoliciesForBackendServerelasticloadbalancing:CreateListenerelasticloadbalancing:CreateTargetGroupelasticloadbalancing:DeleteListenerelasticloadbalancing:DeleteTargetGroupelasticloadbalancing:DescribeListenerselasticloadbalancing:DescribeLoadBalancerPolicieselasticloadbalancing:DescribeTargetGroupselasticloadbalancing:DescribeTargetHealthelasticloadbalancing:ModifyListenerelasticloadbalancing:ModifyTargetGroupelasticloadbalancing:RegisterTargetselasticloadbalancing:DeregisterTargetselasticloadbalancing:SetLoadBalancerPoliciesOfListeneriam:CreateServiceLinkedRolekms:DescribeKey`	`https://github.com/kubernetes/cloud-provider-aws/blob/master/docs/prerequisites.md`
crea bilanciatori del carico	`elasticloadbalancing:CreateLoadBalancer` `ec2:DescribeAccountAttributes` `ec2:DescribeInternetGateways` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs`	`https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html`
aws-ebs-csi-driver	`ec2:DescribeVolumesModifications ec2:DeleteTags` ec2:DescribeAvailabilityZones	`https://github.com/kubernetes-sigs/aws-ebs-csi-driver/tree/master/docs#set-up-driver-permission`
gke-aws-controller-manager	`ec2:DescribeDhcpOptions` `ec2:DescribeInstances` `ec2:DescribeVpcs`
`elasticloadbalancing:ModifyTargetGroupAttributes`
`ec2:DescribeSnapshots` `ec2:CreateSnapshot` `ec2:DeleteSnapshot`	Snapshoter CSI	Strumento di snapshot esterno per Kubernetes
Agente GKE su nodo AWS Collega NIC a etcd	`ec2:AttachNetworkInterface` (Crea, Aggiorna)
Lettura della configurazione del proxy da Secret Manager	`secretsmanager:GetSecretValue` (Crea, Aggiorna)
Interazione con le chiavi KMS	`kms:Encrypt` (Crea, Aggiorna) `kms:Decrypt` (Crea, Aggiorna) `kms:CreateGrant` (Crea, Aggiorna)

Criterio IAM per il ruolo del pool di nodi

Finalità	Autorizzazione richiesta	Riferimento
Lettura della configurazione proxy da Secret Manager	`secretsmanager:GetSecretValue` (Crea, Aggiorna)
Chiave KMS per decriptare la crittografia della configurazione del pool di nodi	`kms:Decrypt` (Crea, Aggiorna)	Crea una chiave KMS di AWS