Amazon EKS との統合 - Amazon CloudWatch

Amazon EKS との統合

CloudWatch 調査では、Amazon EKS クラスターから直接情報を利用できます。開始するには、まず Investigation Group IAM ロールへのアクセスを付与します。CloudWatch 調査にクラスター内のリソースへのアクセスを許可する提供されたアクセスポリシー AmazonAIOpsAssistantPolicy を使用することをお勧めします。このポリシーを使用することで、新機能が追加されると、ポリシーの更新が自動的に取得されます。

注記

AmazonAIOpsAssistantPolicy はアクセスポリシーです。CloudWatch 調査に関連するアクセスを許可する ID ポリシーは AIOpsAssistantPolicy です。

[詳細設定] オプションを使用して、アクセスポリシーによって提供されるアクセスを一連の名前空間またはクラスター全体に制限します。または、アクセスエントリを Kubernetes グループの RBAC アクセス許可に関連付けることで、アクセスをさらに制限することもできます。詳細については、「アクセスエントリを作成する」を参照してください。

Amazon EKS アクセスエントリの設定 (コンソール)

AWS マネジメントコンソールを使用して AmazonAIOpsAssistantPolicy を調査ロールに関連付けるには、以下の手順に従います。

  1. CloudWatch コンソールを開き、調査設定ページに移動します。

  2. Amazon EKS Access セクションで、AmazonAIOpsAssistantPolicy を調査ロールに関連付けるオプションを選択します。

  3. ポリシーの詳細を確認し、関連付けを確認します。

アクセス範囲をさらにカスタマイズするには:

  1. Amazon EKS Access セクションの [詳細設定] をクリックします。

  2. Amazon EKS コンソールにリダイレクトされます。

  3. Amazon EKS コンソールで、次のことができます。

    1. ポリシーの範囲を特定の名前空間に設定する

    2. より詳細なアクセスコントロールのためにグループ機能を設定する

Amazon EKS アクセスエントリ (CDK) の設定

AWS CDK を使用して Amazon EKS アクセスエントリを設定するには、以下のコード例を使用します。

const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });

AmazonAIOpsAssistantPolicy

Amazon EKS アクセスポリシー AmazonAIOpsAssistantPolicy は、クラスター内のリソースへの包括的な読み取り専用アクセスを提供します。各リソースからの情報は、現在 CloudWatch Investigations では使用されていない可能性があります。

- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list

AmazonAIOpsAssistantPolicy の更新

変更 説明 日付
CloudWatch 調査のポリシーを追加する AmazonAIOpsAssistantPolicy の初回リリース 2025 年 8 月 9 日