このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
Amazon EKS でのアクセスコントロールの仕組みについて説明します。
Amazon EKS クラスターへのアクセスを管理する方法について説明します。Amazon EKS を使用するには、Kubernetes と AWS Identity and Access Management (AWS IAM) がどのようにアクセスコントロールをするのかについての知識が必要になります。
このセクションには以下が含まれます。
IAM ユーザーおよびロールに Kubernetes APIs へのアクセスを付与する — アプリケーションまたはユーザーが Kubernetes API を認証できるようにするための方法を、説明します。アクセスエントリ、aws-auth ConfigMap、または外部の OIDC プロバイダーを使用できます。
kubeconfig ファイルを作成して kubectl を EKS クラスターに接続する — Amazon EKS クラスターと通信するように kubectl を設定する方法について説明します。AWS CLI を使用して kubeconfig ファイルを作成します。
Kubernetes ワークロードに Kubernetes サービスアカウントを使用して AWS へのアクセスを許可する - Kubernetes サービスアカウントを AWS IAM ロールに関連付ける方法を説明します。サービスアカウント (IRSA) には、Pod Identity または IAM ロールを使用できます。
一般的なタスク
-
開発者に Kubernetes API へのアクセスを許可します。AWS Management Console 内の Kubernetes リソースを表示します。
-
解決策: アクセスエントリを使用して、Kubernetes RBAC 権限を AWS IAM ユーザーまたはロールに関連付けます。
-
-
AWS 認証情報を使用して、kubectl を Amazon EKS クラスターと通信するように設定します。
-
解決策: AWS CLI を使用して kubeconfig ファイルを作成します。
-
-
Ping Identity など外部 ID プロバイダーを使用して、Kubernetes API に対してユーザーを認証します。
-
解決策: 外部の OIDC プロバイダーをリンクします。
-
-
Kubernetes クラスターのワークロードに AWS API を呼び出す機能を付与します。
-
解決策: Pod Identity を使用して AWS IAM ロールを Kubernetes サービスアカウントに関連付けます。
-
背景:
-
AWS リソースへのアクセスを管理する方法については、「AWS IAM ユーザーガイド」を参照してください。あるいは、無料の AWS IAM の使用に関する入門トレーニング
も受講できます。