クラスター上の Kubernetes リソースを表示するためのアクセス権をユーザーにグラントする - Amazon EKS

クラスター上の Kubernetes リソースを表示するためのアクセス権をユーザーにグラントする

追加の IAM ユーザーに Amazon EKS コンソールへのアクセスを許可して、接続されたクラスターで実行されている Kubernetes リソースに関する情報を表示します。

前提条件

AWS Management Console にサインインする際に使用する IAM ユーザーまたは IAM ロールは、次の要件を満たしている必要があります。

  • eks:AccessKubernetesApi 許可がある。

  • Amazon EKS Connector Service アカウントは、クラスター内の IAM またはロールを偽装できる。これにより、eks-connector は IAM ユーザーまたはロールを Kubernetes ユーザーにマッピングできます。

Amazon EKS クラスターロールを作成して適用するには

  1. eks-connector クラスターのロールテンプレートをダウンロードします。

    curl -o eks-connector-clusterrole.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. クラスターロールテンプレート YAML ファイルを編集します。%IAM_ARN% のリファレンスを IAM ユーザーまたはロールの Amazon リソースネーム (ARN) に置き換えます。

  3. Amazon EKS Connector クラスターロール YAML を Kubernetes クラスターに適用します。

    kubectl apply -f eks-connector-clusterrole.yaml

IAM ユーザーまたはロールが Amazon EKS コンソールで Kubernetes リソースを確認するには、ユーザーまたはロールが、リソースを読み取るために必要なアクセス許可を持つ Kubernetes role または clusterrole に関連付けられている必要があります。詳細については、「Kubernetes ドキュメント」の「RBAC 認証の使用」を参照してください。

接続されたクラスターにアクセスするように IAM ユーザーを設定するには

  1. clusterrole および clusterrolebinding、または role および rolebinding を作成する、以下のマニフェスト例をダウンロードできます。

    • すべての名前空間の Kubernetes リソースを表示する - クラスターのロール eks-connector-console-dashboard-full-access-clusterrole は、コンソールで視覚化できるすべての名前空間とリソースへのアクセスを提供します。クラスターに適用する前に roleclusterrole、および対応するバインディングの名前を変更することができます。次のコマンドを使用して、サンプルファイルをダウンロードします。

      curl -o eks-connector-console-dashboard-full-access-group.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    • 特定の名前空間内の Kubernetes リソースを表示する - このファイルの名前空間は default です。別の名前空間を指定する場合は、クラスターに適用する前にファイルを編集します。次のコマンドを使用して、サンプルファイルをダウンロードします。

      curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. フルアクセスまたは制限付きアクセスの YAML ファイルを編集して、%IAM_ARN% のリファレンスを IAM ユーザーまたはロールの Amazon リソース名 (ARN) に置き換えます。

  3. フルアクセスまたは制限付きアクセスの YAML ファイルを Kubernetes クラスターに適用します。YAML ファイルの値は独自の値に置き換えます。

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

接続されたクラスター内の Kubernetes リソースを表示するには、「Kubernetes リソースを表示する」を参照してください。[Resources] (リソース) タブ上の一部のリソースタイプのデータは、接続されたクラスターでは使用できません。