IAM ポリシー - Eksctl ユーザーガイド
サポートされている IAM アドオンポリシーカスタムインスタンスロールの追加インラインポリシーのアタッチARN によるポリシーのアタッチ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシー

インスタンスロールをノードグループにアタッチできます。ノードで実行されているワークロードは、ノードから IAM アクセス許可を受け取ります。mroe の詳細については、Amazon EC2 の IAM ロール」を参照してください。

このページには、eksctl で使用できる事前定義された IAM ポリシーテンプレートが一覧表示されます。これらのテンプレートは、カスタム IAM ポリシーを手動で作成することなく、EKS ノードに適切な AWS サービスアクセス許可を付与するプロセスを簡素化します。

サポートされている IAM アドオンポリシー

サポートされているすべてのアドオンポリシーの例:

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Image Builder ポリシー

このimageBuilderポリシーでは、ECR (Elastic Container Registry) へのフルアクセスを許可します。これは、イメージを ECR にプッシュする必要がある CI サーバーの構築などに役立ちます。

EBS ポリシー

このebsポリシーは、新しい EBS CSI (Elastic Block Store Container Storage Interface) ドライバーを有効にします。

Cert Manager ポリシー

このcertManagerポリシーにより、DNS01 チャレンジを解決するために Route 53 にレコードを追加できます。詳細については、こちらを参照してください。

カスタムインスタンスロールの追加

この例では、別のクラスターから既存の IAM インスタンスロールを再利用するノードグループを作成します。

apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

インラインポリシーのアタッチ

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

ARN によるポリシーのアタッチ

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
警告

ノードグループに が含まれているattachPolicyARNs場合、AmazonEC2ContainerRegistryReadOnlyこの例では AmazonEKSWorkerNodePolicyAmazonEKS_CNI_Policyや などのデフォルトのノードポリシーも含める必要があります