デフォルトの Amazon EKS は Kubernetes ロールとユーザーを作成しました。
Kubernetes クラスターを作成すると、Kubernetes が正常に機能するようにそのクラスターに複数のデフォルト Kubernetes ID が作成されます。Amazon EKS は、デフォルトコンポーネントごとに Kubernetes ID を作成します。ID は、クラスターコンポーネントの Kubernetes ロールベースの承認制御 (RBAC) を提供します。詳細については、「Kubernetes ドキュメント」の「RBAC 認証の使用
オプションのアドオンをクラスターにインストールすると、クラスターに追加の Kubernetes ID が追加されることがあります。このトピックで扱われていない ID の詳細については、「アドオンのドキュメント」を参照してください。
AWS Management Console または kubectl コマンドラインツールを使用して、クラスターで Amazon EKS が作成した Kubernetes ID のリストを表示できます。すべてのユーザー ID はお客様に対して、Amazon CloudWatch を通じて利用可能な kube 監査ログに表示されます。
- AWS Management Console
-
前提条件
使用する IAM プリンシパルには、必要なアクセス許可 に記載されている許可が必要です。
AWS Management Console を使用して Amazon EKS で作成された ID を表示するには
https://console.aws.amazon.com/eks/home#/clusters
で Amazon EKS コンソール を開きます。 -
[Clusters] (クラスター) のリストで、表示したい ID を含んでいるクラスターを選択します。
-
Resources タブを選択します。
-
[Resource types] (リソースタイプ) で [Authorization] (承認) を選択します。
-
[ClusterRoles]、[ClusterRoleBindings]、[Roles] (ロール)、または [RoleBindings] を選択します。[eks] というプレフィックスが付いたリソースはすべて、Amazon EKS によって作成されます。Amazon EKS で作成される追加の ID リソースは次のとおりです。
[aws-node] という名前の [ClusterRole] と [ClusterRoleBinding]。[aws-node] リソースは、Amazon EKS がすべてのクラスターにインストールする Amazon VPC CNI plugin for Kubernetes をサポートします。
-
[vpc-resource-controller-role] という名前の [ClusterRole] および [vpc-resource-controller-rolebinding] という名前の [ClusterRoleBinding]。これらのリソースは、Amazon EKS がすべてのクラスターにインストールする「Amazon VPC resource controller
」(Amazon VPC リソースコントローラー) をサポートします。
コンソールに表示されるリソースに加えて、次の特別なユーザー ID がクラスターに存在しますが、クラスターの設定には表示されません。
-
eks:cluster-bootstrap- クラスターブートストラップ中のkubectl操作に使用されます。 -
eks:support-engineer- クラスター管理操作に使用されます。
-
特定のリソースを選択すると、そのリソースの詳細が表示されます。デフォルトでは、情報は [Structured view] (構造化ビュー) で表示されます。詳細ページの右上隅で、[Raw View] (生のビュー) を選択すると、リソースの情報をすべて表示できます。
- Kubectl
-
前提条件
クラスター上の Kubernetes リソースを一覧表示するために使用するエンティティ (AWS Identity and Access Management (IAM) または OpenID Connect (OIDC)) は、IAM または OIDC ID プロバイダーによって認証される必要があります。エンティティには、そのエンティティに使用させたいクラスター上の、
Role、ClusterRole、RoleBinding、およびClusterRoleBindingリソースに対して Kubernetesgetおよびlist動詞を使用するアクセス許可が付与されている必要があります。IAM エンティティにクラスターへのアクセスを付与する方法の詳細については、「クラスターに対する IAM プリンシパルのアクセスの有効化」を参照してください。独自の OIDC プロバイダーによって認証されたエンティティにクラスターへのアクセスを付与する方法の詳細については、「OpenID Connect アイデンティティプロバイダーからクラスターのユーザーを認証する」を参照してください。kubectlを使用して Amazon EKS で作成された ID を表示するには表示するリソースのタイプのコマンドを実行します。[eks] というプレフィックスが付いたすべての返されるリソースは、Amazon EKS によって作成されます。コマンドからの出力で返されるリソースに加えて、次の特別なユーザー ID がクラスターに存在しますが、クラスターの設定には表示されません。
-
eks:cluster-bootstrap- クラスターブートストラップ中のkubectl操作に使用されます。 -
eks:support-engineer- クラスター管理操作に使用されます。
ClusterRoles -
ClusterRolesはクラスターにスコープが設定されているため、ロールに付与されたすべてのアクセス許可は、クラスター上の任意の Kubernetes 名前空間内のリソースに適用されます。次のコマンドは、クラスターで作成されたすべての Amazon EKS Kubernetes
ClusterRolesを返します。kubectl get clusterroles | grep eks出力で返されるのはプレフィックスが付けられた
ClusterRolesの他に、次のClusterRolesが存在します。-
aws-node- このClusterRoleは Amazon EKS がすべてのクラスターにインストールする Amazon VPC CNI plugin for Kubernetes をサポートします。 -
vpc-resource-controller-role- このClusterRoleは、Amazon EKS がすべてのクラスターにインストールする「Amazon VPC resource controller」(Amazon VPC リソースコントローラー) をサポートします。
ClusterRoleの仕様を確認するには、次のコマンドのeks:k8s-metricsを前のコマンドの出力で返されたClusterRoleに置き換えます。次の例では、eks:k8s-metricsClusterRoleの仕様を返します。kubectl describe clusterroleeks:k8s-metrics出力例は次のとおりです。
Name: eks:k8s-metrics Labels: <none> Annotations: <none> PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- [/metrics] [] [get] endpoints [] [] [list] nodes [] [] [list] pods [] [] [list] deployments.apps [] [] [list]ClusterRoleBindings -
ClusterRoleBindingsはクラスターを対象としています。次のコマンドは、クラスターで作成されたすべての Amazon EKS Kubernetes
ClusterRoleBindingsを返します。kubectl get clusterrolebindings | grep eks出力で返される
ClusterRoleBindings以外に、次のClusterRoleBindingsが存在します。-
aws-node- このClusterRoleBindingは Amazon EKS がすべてのクラスターにインストールする Amazon VPC CNI plugin for Kubernetes をサポートします。 -
vpc-resource-controller-rolebinding- このClusterRoleBindingは、Amazon EKS がすべてのクラスターにインストールする「Amazon VPC resource controller」(Amazon VPC リソースコントローラー) をサポートします。
ClusterRoleBindingの仕様を確認するには、次のコマンドのeks:k8s-metricsを前のコマンドの出力で返されたClusterRoleBindingに置き換えます。次の例では、eks:k8s-metricsClusterRoleBindingの仕様を返します。kubectl describe clusterrolebindingeks:k8s-metrics出力例は次のとおりです。
Name: eks:k8s-metrics Labels: <none> Annotations: <none> Role: Kind: ClusterRole Name: eks:k8s-metrics Subjects: Kind Name Namespace ---- ---- --------- User eks:k8s-metrics
ロール -
Rolesは Kubernetes 名前空間にスコープされます。Rolesで作成されたすべての Amazon EKS は、kube-system名前空間にスコープされます。次のコマンドは、クラスターで作成されたすべての Amazon EKS Kubernetes
Rolesを返します。kubectl get roles -n kube-system | grep eksRoleの仕様を確認するには、次のコマンドのeks:k8s-metricsを、前のコマンドの出力で返されたRoleの名前に置き換えます。次の例では、eks:k8s-metricsRoleの仕様を返します。kubectl describe roleeks:k8s-metrics-n kube-system出力例は次のとおりです。
Name: eks:k8s-metrics Labels: <none> Annotations: <none> PolicyRule: Resources Non-Resource URLs Resource Names Verbs --------- ----------------- -------------- ----- daemonsets.apps [] [aws-node] [get] deployments.apps [] [vpc-resource-controller] [get]
RoleBindings -
RoleBindingsは Kubernetes 名前空間にスコープされます。RoleBindingsで作成されたすべての Amazon EKS は、kube-system名前空間にスコープされます。次のコマンドは、クラスターで作成されたすべての Amazon EKS Kubernetes
RoleBindingsを返します。kubectl get rolebindings -n kube-system | grep eksRoleBindingの仕様を確認するには、次のコマンドのeks:k8s-metricsを前のコマンドの出力で返されたRoleBindingに置き換えます。次の例では、eks:k8s-metricsRoleBindingの仕様を返します。kubectl describe rolebinding-n kube-systemeks:k8s-metrics出力例は次のとおりです。
Name: eks:k8s-metrics Labels: <none> Annotations: <none> Role: Kind: Role Name: eks:k8s-metrics Subjects: Kind Name Namespace ---- ---- --------- User eks:k8s-metrics
-
