クラスターへのアクセスをユーザーに許可する
Amazon EKS クラスターにアクセスできる ID には 2 種類あります。
-
AWS Identity and Access Management (IAM) プリンシパル (ロールまたはユーザー) — このタイプには IAM への認証が必要です。IAM ユーザーとして、または ID ソースから提供された認証情報を使用して、フェデレーテッド ID
で AWS にサインインできます。IAM ロールを使用して前もって管理者により ID フェデレーションが設定されている場合、フェデレーティッド ID としてのみサインインできます。フェデレーションを使用して AWS にアクセスする場合、間接的にロールを引き受けることになります。ユーザーがこのタイプの ID を使用すると、次のことが行われます。 -
ユーザーがクラスター上の Kubernetes オブジェクトを操作できるように Kubernetes アクセス許可を割り当てることができます。IAM プリンシパルにアクセス許可を割り当てて、クラスター上の Kubernetes オブジェクトにアクセスできるようにする方法の詳細については、「IAM ロールまたはユーザーに Amazon EKS クラスター上の Kubernetes オブジェクトへのアクセスを許可する」を参照してください。
IAM アクセス許可を割り当てて、ユーザーが Amazon EKS API、AWS CLI、AWS CloudFormation、AWS Management Console、または
eksctlを使用して Amazon EKS クラスターとそのリソースを操作できるようにすることができます。詳細については、サービス認証リファレンスの「Amazon Elastic Kubernetes Service で定義されるアクション」を参照してください。
ノードは IAM ロールを引き受けることでクラスターに参加します。IAM プリンシパルを使用してクラスターにアクセスできます。プリンシパルは、Amazon EKS コントロールプレーンで実行される AWS IAM Authenticator for Kubernetes
によって提供されます。 -
-
独自の OpenID Connect (OIDC) プロバイダーのユーザー — このタイプでは、OIDC
プロバイダーへの認証が必要です。Amazon EKS クラスターで独自の OIDC プロバイダーを設定する方法については、「OpenID Connect アイデンティティプロバイダーからクラスターのユーザーを認証する」を参照してください。ユーザーがこのタイプの ID を使用すると、次のことが行われます。 ユーザーがクラスター上の Kubernetes オブジェクトを操作できるように Kubernetes アクセス許可を割り当てることができます。
IAM アクセス許可を割り当てて、ユーザーが Amazon EKS API、AWS CLI、AWS CloudFormation、AWS Management Console、または
eksctlを使用して Amazon EKS クラスターとそのリソースを操作できるようにすることはできません。
クラスターでは両方のタイプの ID を使用できます。ユーザーは、クラスター上の Kubernetes オブジェクトにアクセスするように kubectl config ファイルを設定する必要があります。IAM ID 用の kube config ファイルを設定するには、「Amazon EKS クラスターの kubeconfig ファイルを作成または更新する」を参照してください。OIDC プロバイダの ID で使用する kube config ファイルを設定するには、Kubernetes ドキュメントの「kubectl の使用
