「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」
クラスターのユーザーまたは IAM ロールの管理
Amazon EKS クラスターを作成すると、このクラスターを作成した IAM エンティティユーザーまたはロール (例: フェデレーティッドユーザー) は、コントロールプレーンのクラスターの RBAC 設定で system:masters のアクセス許可が自動的に付与されます。この IAM エンティティは、ConfigMap やその他の表示可能な設定には表示されません。そのため、もともとクラスターを作成した
IAM エンティティを必ず追跡してください。クラスターを操作する権限を他の AWS ユーザーやロールに付与するには、Kubernetes 内の aws-auth ConfigMap を編集する必要があります。
さまざまな IAM アイデンティティの詳細については、https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html の「IAM ユーザーガイドアイデンティティ (ユーザー、グループ、ロール)」を参照してください。Kubernetes の RBAC 設定の詳細については、RBAC 認可の使用
aws-auth は、ConfigMap ガイドの一部として適用されます。このガイドでは、Amazon EKS の開始方法 クラスターの作成からサンプル Kubernetes アプリケーションのデプロイまで、エンドツーエンドのチュートリアルを提供します。Amazon EKS最初、ノードがクラスターに参加できるように作成されますが、この
ConfigMap を使用して、RBAC のアクセスを IAM ユーザーとロールに追加することもできます。ノードを起動して aws-auth ConfigMap を適用していない場合は、次の手順で適用できます。
aws-auth をクラスターに適用するにはConfigMap
-
aws-authがすでに適用されているかどうかを確認します。ConfigMapkubectl describe configmap -n kube-system aws-auth「
Error from server (NotFound): configmaps "aws-auth" not found」というエラーが表示された場合は、以下のステップを実行して株式 ConfigMap を適用します。 -
AWS オーセンティケーター設定マップをダウンロード、編集、適用します。
-
クラスターがあるリージョンに対応するコマンドを使用して、設定マップをダウンロードします。
-
リージョン以外のすべてのリージョン。中国
curl -o aws-auth-cm.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/cloudformation/2020-10-29/aws-auth-cm.yaml -
北京および寧夏 中国リージョン。
curl -o aws-auth-cm.yaml https://s3.cn-north-1.amazonaws.com.cn/amazon-eks//cloudformation/2020-10-29/aws-auth-cm.yaml
-
-
任意のテキストエディタでファイルを開きます。をノードに関連付けられた
<ARN of instance role (not instance profile)>ロールの Amazon リソースネーム (ARN) に置き換え、ファイルを保存します。IAMこのファイルの他の行は変更しないでください。重要 ロール ARN にパスを含めることはできません。ロール ARN の形式は
arn:aws:iam::<123456789012>:role/<role-name>である必要があります。 詳細については、「aws-auth ConfigMap がクラスターにアクセスを許可しない」を参照してください。apiVersion: v1 kind: ConfigMap metadata: name: aws-auth namespace: kube-system data: mapRoles: | - rolearn: <ARN of instance role (not instance profile)> username: system:node:{{EC2PrivateDNSName}} groups: - system:bootstrappers - system:nodesワーカーノードグループの AWS CloudFormation スタック出力を検査し、次の値を探すことができます。
-
InstanceRoleARN ( で作成されたノードグループ用)
eksctl -
NodeInstanceRole ( で Amazon EKS 提供の AWS CloudFormation テンプレートで作成されたノードグループ用)AWS マネジメントコンソール
-
-
設定を適用します。このコマンドが完了するまで数分かかることがあります。
kubectl apply -f aws-auth-cm.yaml注記 その他の認可またはリソースタイプのエラーが発生した場合は、トラブルシューティングセクションの「許可されていないか、アクセスが拒否されました (kubectl)」を参照してください。
-
-
ノードのステータスを監視し、
Readyステータスになるまで待機します。kubectl get nodes --watch
IAM ユーザーまたはロールを Amazon EKS クラスターに追加するには
-
kubectlが使用している AWS 認証情報が、クラスターですでに認証されていることを確認します。クラスターを作成した IAM ユーザーには、デフォルトでこれらのアクセス許可が付与されています。 -
aws-authを開きます。ConfigMapkubectl edit -n kube-system configmap/aws-auth注記 「
Error from server (NotFound): configmaps "aws-auth" not found」というエラーが表示された場合は、前の手順を使用して株式 ConfigMap を適用します。例 ConfigMap:
apiVersion: v1 data: mapRoles: | - groups: - system:bootstrappers - system:nodes rolearn: arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF username: system:node:{{EC2PrivateDNSName}} kind: ConfigMap metadata: creationTimestamp: "2020-09-30T21:09:18Z" name: aws-auth namespace: kube-system resourceVersion: "1021" selfLink: /api/v1/namespaces/kube-system/configmaps/aws-auth uid: dcc31de5-3838-11e8-af26-02e00430057c -
ユーザー、ロール、または IAM アカウントを AWS に追加します。configMap グループを IAM に追加することはできません。configMap
-
ロールを追加するには (IAMフェデレーティッドユーザー など)、 の セクションに
mapRolesの下のロールの詳細を追加します。ConfigMapdataファイルに存在しない場合は、このセクションを追加します。各エントリは、次のパラメータをサポートしています。-
rolearn: 追加する ARN ロールの IAM。
-
username: ロールにマッピングする Kubernetes 内のユーザー名。IAM
-
グループ: ロールがマッピングされている Kubernetes 内のグループのリスト。詳細については、Kubernetes ドキュメントのデフォルトのロールとロールのバインディング
を参照してください。
-
-
ユーザーを追加するには:IAM の セクションの
mapUsersの下にユーザーの詳細を追加します。ConfigMapdataファイルに存在しない場合は、このセクションを追加します。各エントリは、次のパラメータをサポートしています。-
userarn: 追加する ARN ユーザーの IAM。
-
ユーザー名: ユーザーにマッピングする Kubernetes 内のユーザー名。IAM
-
グループ: ユーザーがマッピングされている Kubernetes 内のグループのリスト。詳細については、Kubernetes ドキュメントのデフォルトのロールとロールのバインディング
を参照してください。
-
たとえば、次のブロックには以下が含まれます。
-
ノードが自身をクラスターに登録できるようにノードインスタンスロールを追加する
mapRolesセクション。 -
mapUsersセクション。デフォルトの AWS アカウントの AWS ユーザーadminと、別の AWS アカウントのops-userが含まれます。いずれのユーザーもsystem:mastersグループに追加されます。
すべての
<example-values>(<>を含む) を独自の値に置き換えます。# Please edit the object below. Lines beginning with a '#' will be ignored, # and an empty file will abort the edit. If an error occurs while saving this file will be # reopened with the relevant failures. # apiVersion: v1 data: mapRoles: | - rolearn: <arn:aws:iam::111122223333:role/eksctl-my-cluster-nodegroup-standard-wo-NodeInstanceRole-1WP3NUE3O6UCF> username: <system:node:{{EC2PrivateDNSName}}> groups: - <system:bootstrappers> - <system:nodes> mapUsers: | - userarn: <arn:aws:iam::111122223333:user/admin> username: <admin> groups: - <system:masters> - userarn: <arn:aws:iam::111122223333:user/ops-user> username: <ops-user> groups: - <system:masters> -
-
ファイルを保存し、テキストエディタを終了します。
-
のユーザーまたはロールをマッピングした Kubernetes ユーザーまたはグループが、IAM または
RoleBindingを使用して Kubernetes ロールにバインドされていることを確認します。CluserRoleBinding詳細については、Kubernetes ドキュメントの「RBAC 認証の使用」を参照してください。と clusterrole、またはclusterrolebindingとroleを作成する次のマニフェストの例をダウンロードできます。rolebinding-
すべての名前空間の Kubernetes リソースを表示する – ファイル内のグループ名は
eks-console-dashboard-full-access-groupです。これは、IAM ユーザーまたはロールをaws-authconfigmap でマッピングする必要があるグループです。必要に応じて、クラスターに適用する前にグループの名前を変更し、IAM ユーザーまたはロールを configmap でそのグループにマッピングできます。ファイルをダウンロードするには、クラスターがあるリージョンの適切なリンクを選択します。 -
特定の名前空間内の Kubernetes リソースを表示する – このファイルの名前空間は
defaultであるため、別の名前空間を指定する場合は、クラスターに適用する前にファイルを編集します。ファイル内のグループ名はeks-console-dashboard-restricted-access-groupです。これは、IAM ユーザーまたはロールをaws-authconfigmap でマッピングする必要があるグループです。必要に応じて、クラスターに適用する前にグループの名前を変更し、IAM ユーザーまたはロールを configmap でそのグループにマッピングできます。ファイルをダウンロードするには、クラスターがあるリージョンの適切なリンクを選択します。
-
-
(オプション) configmap に追加したユーザーが ノードの表示 で ワークロードの表示 または AWS マネジメントコンソール を実行できるようにする場合、ユーザーまたはロールには Kubernetes のリソースを表示するための適切なアクセス許可が必要ですが、IAM のリソースを表示するための適切な AWS マネジメントコンソール アクセス許可も必要です。詳細については、「のすべてのクラスターのノードとワークロードの表示AWS マネジメントコンソール」を参照してください。
