翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM ユーザーとロールを管理する
注記
AWS は、ConfigMap aws-auth EKS Pod Identity の関連付けから への移行を提案します。
EKS クラスターは、IAM ユーザーとロールを使用してクラスターへのアクセスを制御します。ルールは設定マップに実装されます
CLI コマンドを使用して ConfigMap を編集する
という名前aws-auth。 eksctlには、この設定マップを読み取って編集するためのコマンドが用意されています。
すべての ID マッピングを取得します。
eksctl get iamidentitymapping --cluster <clusterName> --region=<region>
arn に一致するすべての ID マッピングを取得します。
eksctl get iamidentitymapping --cluster <clusterName> --region=<region> --arn arn:aws:iam::123456:role/testing-role
ID マッピングを作成します。
eksctl create iamidentitymapping --cluster <clusterName> --region=<region> --arn arn:aws:iam::123456:role/testing --group system:masters --username admin
ID マッピングを削除します。
eksctl delete iamidentitymapping --cluster <clusterName> --region=<region> --arn arn:aws:iam::123456:role/testing
注記
上記のコマンドは、 が指定されていない限り、単一のマッピング FIFO を削除します。指定されていない場合--all、一致するものはすべて削除されます。このロールに一致するマッピングがさらに見つかった場合に警告します。
アカウントマッピングを作成します。
eksctl create iamidentitymapping --cluster <clusterName> --region=<region> --account user-account
アカウントマッピングを削除します。
eksctl delete iamidentitymapping --cluster <clusterName> --region=<region> --account user-account
ClusterConfig ファイルを使用して ConfigMap を編集する
ID マッピングは ClusterConfig で指定することもできます。
--- apiVersion: eksctl.io/v1alpha5 kind: ClusterConfig metadata: name: cluster-with-iamidentitymappings region: us-east-1 iamIdentityMappings: - arn: arn:aws:iam::000000000000:role/myAdminRole groups: - system:masters username: admin noDuplicateARNs: true # prevents shadowing of ARNs - arn: arn:aws:iam::000000000000:user/myUser username: myUser noDuplicateARNs: true # prevents shadowing of ARNs - serviceName: emr-containers namespace: emr # serviceName requires namespace - account: "000000000000" # account must be configured with no other options nodeGroups: - name: ng-1 instanceType: m5.large desiredCapacity: 1
eksctl create iamidentitymapping -f cluster-with-iamidentitymappings.yaml
