クラスター上の Kubernetes リソースを表示するためのアクセス権の IAM プリンシパルへの付与 - Amazon EKS
前提条件

クラスター上の Kubernetes リソースを表示するためのアクセス権の IAM プリンシパルへの付与

IAM プリンシパルに Amazon EKS コンソールへのアクセスを許可して、接続されたクラスターで実行されている Kubernetes リソースに関する情報を表示します。

前提条件

AWS Management Console にアクセスするために使用する IAM プリンシパルは、次の要件を満たしている必要があります。

  • eks:AccessKubernetesApi IAM アクセス許可が必要です。

  • Amazon EKS Connector サービスアカウントが、クラスター内の IAM プリンシパルを偽装できる。これにより、Amazon EKS Connector は IAM プリンシパルを Kubernetes ユーザーにマッピングできます。

Amazon EKS クラスターロールを作成して適用するには

  1. eks-connector クラスターのロールテンプレートをダウンロードします。

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml

  2. クラスターロールテンプレート YAML ファイルを編集します。%IAM_ARN% のリファレンスを IAM プリンシパルの Amazon リソースネーム (ARN) に置き換えます。

  3. Amazon EKS Connector クラスターロール YAML を Kubernetes クラスターに適用します。

    kubectl apply -f eks-connector-clusterrole.yaml

IAM プリンシパルが Amazon EKS コンソールで Kubernetes リソースを確認するには、そのプリンシパルが、リソースを読み取るために必要な許可を持つ Kubernetes role または clusterrole に関連付けられている必要があります。詳細については、「Kubernetes ドキュメント」の「RBAC 認証の使用」を参照してください。

接続されたクラスターにアクセスするように IAM プリンシパルを設定するには

  1. 以下のいずれかのサンプルマニフェストファイルをダウンロードして、それぞれ clusterrole および clusterrolebinding、または role および rolebinding を作成できます。

    すべての名前空間の Kubernetes リソースを表示する

    クラスターのロール eks-connector-console-dashboard-full-access-clusterrole は、コンソールで視覚化できるすべての名前空間とリソースへのアクセスを提供します。クラスターに適用する前に roleclusterrole、および対応するバインディングの名前を変更することができます。次のコマンドを使用して、サンプルファイルをダウンロードします。

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    特定の名前空間内の Kubernetes リソースを表示する

    このファイルの名前空間は default です。別の名前空間を指定する場合は、クラスターに適用する前にファイルを編集します。次のコマンドを使用して、サンプルファイルをダウンロードします。

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml

  2. フルアクセスまたは制限付きアクセスの YAML ファイルを編集して、%IAM_ARN% のリファレンスを IAM プリンシパルの Amazon リソースネーム (ARN) に置き換えます。

  3. フルアクセスまたは制限付きアクセスの YAML ファイルを Kubernetes クラスターに適用します。YAML ファイルの値は独自の値に置き換えます。

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

接続されたクラスター内の Kubernetes リソースを表示するには、「Kubernetes リソースを表示する」を参照してください。[Resources] (リソース) タブ上の一部のリソースタイプのデータは、接続されたクラスターでは使用できません。