Amazon EKS との統合
CloudWatch 調査では、Amazon EKS クラスターから直接情報を利用できます。開始するには、まず Investigation Group
IAM ロールへのアクセスを付与します。CloudWatch 調査にクラスター内のリソースへのアクセスを許可する提供されたアクセスポリシー AmazonAIOpsAssistantPolicy
を使用することをお勧めします。このポリシーを使用することで、新機能が追加されると、ポリシーの更新が自動的に取得されます。
注記
AmazonAIOpsAssistantPolicy
はアクセスポリシーです。CloudWatch 調査に関連するアクセスを許可する ID ポリシーは AIOpsAssistantPolicy
です。
[詳細設定] オプションを使用して、アクセスポリシーによって提供されるアクセスを一連の名前空間またはクラスター全体に制限します。または、アクセスエントリを Kubernetes グループの RBAC アクセス許可に関連付けることで、アクセスをさらに制限することもできます。詳細については、「アクセスエントリを作成する」を参照してください。
Amazon EKS アクセスエントリの設定 (コンソール)
AWS マネジメントコンソールを使用して AmazonAIOpsAssistantPolicy
を調査ロールに関連付けるには、以下の手順に従います。
-
CloudWatch コンソールを開き、調査設定ページに移動します。
-
Amazon EKS Access セクションで、
AmazonAIOpsAssistantPolicy
を調査ロールに関連付けるオプションを選択します。 -
ポリシーの詳細を確認し、関連付けを確認します。
アクセス範囲をさらにカスタマイズするには:
-
Amazon EKS Access セクションの [詳細設定] をクリックします。
-
Amazon EKS コンソールにリダイレクトされます。
-
Amazon EKS コンソールで、次のことができます。
-
ポリシーの範囲を特定の名前空間に設定する
-
より詳細なアクセスコントロールのためにグループ機能を設定する
-
Amazon EKS アクセスエントリ (CDK) の設定
AWS CDK を使用して Amazon EKS アクセスエントリを設定するには、以下のコード例を使用します。
const testAccessEntry = new AccessEntry(this, `test-access-entry`, { cluster: eksCluster, principal: investigationsIamRole.roleArn, accessPolicies: [ AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', { accessScopeType: AccessScopeType.CLUSTER }), ], });
AmazonAIOpsAssistantPolicy
Amazon EKS アクセスポリシー AmazonAIOpsAssistantPolicy
は、クラスター内のリソースへの包括的な読み取り専用アクセスを提供します。各リソースからの情報は、現在 CloudWatch Investigations では使用されていない可能性があります。
- apiGroups: [""] resources: - pods - pods/log - services - nodes - namespaces - events - persistentvolumes - persistentvolumeclaims - configmaps verbs: - get - list - apiGroups: ["apps"] resources: - deployments - replicasets - statefulsets - daemonsets verbs: - get - list - apiGroups: ["batch"] resources: - jobs - cronjobs verbs: - get - list - apiGroups: ["events.k8s.io"] resources: - events verbs: - get - list - apiGroups: ["networking.k8s.io"] resources: - ingresses - ingressclasses verbs: - get - list - apiGroups: ["storage.k8s.io"] resources: - storageclasses verbs: - get - list - apiGroups: ["metrics.k8s.io"] resources: - pods - nodes verbs: - get - list
AmazonAIOpsAssistantPolicy の更新
変更 | 説明 | 日付 |
---|---|---|
CloudWatch 調査のポリシーを追加する | AmazonAIOpsAssistantPolicy の初回リリース |
2025 年 8 月 9 日 |