Amazon EKS との統合 - Amazon CloudWatch
Amazon EKS アクセスエントリの設定 (コンソール)Amazon EKS アクセスエントリ (CDK) の設定AmazonAIOpsAssistantPolicyAmazonAIOpsAssistantPolicy の更新

Amazon EKS との統合

CloudWatch 調査では、Amazon EKS クラスターから直接情報を利用できます。開始するには、まず Investigation Group IAM ロールへのアクセスを付与します。CloudWatch 調査にクラスター内のリソースへのアクセスを許可する提供されたアクセスポリシー AmazonAIOpsAssistantPolicy を使用することをお勧めします。このポリシーを使用することで、新機能が追加されると、ポリシーの更新が自動的に取得されます。

注記

AmazonAIOpsAssistantPolicy はアクセスポリシーです。CloudWatch 調査に関連するアクセスを許可する ID ポリシーは AIOpsAssistantPolicy です。

[詳細設定] オプションを使用して、アクセスポリシーによって提供されるアクセスを一連の名前空間またはクラスター全体に制限します。または、アクセスエントリを Kubernetes グループの RBAC アクセス許可に関連付けることで、アクセスをさらに制限することもできます。詳細については、「アクセスエントリを作成する」を参照してください。

Amazon EKS アクセスエントリの設定 (コンソール)

AWS マネジメントコンソールを使用して AmazonAIOpsAssistantPolicy を調査ロールに関連付けるには、以下の手順に従います。

  1. CloudWatch コンソールを開き、調査設定ページに移動します。

  2. Amazon EKS Access セクションで、AmazonAIOpsAssistantPolicy を調査ロールに関連付けるオプションを選択します。

  3. ポリシーの詳細を確認し、関連付けを確認します。

アクセス範囲をさらにカスタマイズするには:

  1. Amazon EKS Access セクションの [詳細設定] をクリックします。

  2. Amazon EKS コンソールにリダイレクトされます。

  3. Amazon EKS コンソールで、次のことができます。

    1. ポリシーの範囲を特定の名前空間に設定する

    2. より詳細なアクセスコントロールのためにグループ機能を設定する

Amazon EKS アクセスエントリ (CDK) の設定

AWS CDK を使用して Amazon EKS アクセスエントリを設定するには、以下のコード例を使用します。


    const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
        cluster: eksCluster,
        principal: investigationsIamRole.roleArn,
        accessPolicies: [
            AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
                accessScopeType: AccessScopeType.CLUSTER
            }),
        ],
    });

AmazonAIOpsAssistantPolicy

Amazon EKS アクセスポリシー AmazonAIOpsAssistantPolicy は、クラスター内のリソースへの包括的な読み取り専用アクセスを提供します。各リソースからの情報は、現在 CloudWatch Investigations では使用されていない可能性があります。


    - apiGroups: [""]
      resources:
        - pods
        - pods/log
        - services
        - nodes
        - namespaces
        - events
        - persistentvolumes
        - persistentvolumeclaims
        - configmaps
      verbs:
        - get
        - list

    - apiGroups: ["apps"]
      resources:
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
      verbs:
        - get
        - list

    - apiGroups: ["batch"]
      resources:
        - jobs
        - cronjobs
      verbs:
        - get
        - list

    - apiGroups: ["events.k8s.io"]
      resources:
        - events
      verbs:
        - get
        - list

    - apiGroups: ["networking.k8s.io"]
      resources:
        - ingresses
        - ingressclasses
      verbs:
        - get
        - list

    - apiGroups: ["storage.k8s.io"]
      resources:
        - storageclasses
      verbs:
        - get
        - list

    - apiGroups: ["metrics.k8s.io"]
      resources:
        - pods
        - nodes
      verbs:
        - get
        - list

AmazonAIOpsAssistantPolicy の更新

変更 説明 日付
CloudWatch 調査のポリシーを追加する AmazonAIOpsAssistantPolicy の初回リリース 2025 年 8 月 9 日