このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
Amazon EKS Pod 実行 IAM ロール
Pods を AWS Fargate インフラストラクチャで実行するために、Amazon EKS Pod 実行ロールが必要になります。
クラスターが AWS Fargate インフラストラクチャ上で Pods を作成する場合、Fargate インフラストラクチャ上で実行されているコンポーネントは、ユーザーに代わって AWS API にコールを実行する必要があります。これは、Amazon ECR からコンテナイメージをプルしたり、ログを他の AWS サービスにルーティングしたりするなどのアクションを実行できるようにするためです。Amazon EKS Pod 実行ロールにより、これらを行うための IAM アクセス許可が付与されます。
Fargate プロファイルを作成する際には、プロファイルを使用して Fargate インフラストラクチャで実行される Amazon EKS コンポーネントのために、Pod 実行ロールを指定する必要があります。このロールは、認証のためにクラスターの Kubernetes [ロールベースのアクセスコントロール]kubelet
が Amazon EKS クラスターに登録され、クラスター内でノードとして表示されるようになります。
注記
Fargate プロファイルには、Amazon EC2 ノードグループとは異なる IAM ロールが必要です。
重要
Fargate Pod で実行されているコンテナは、Pod 実行ロールに関連付けられた IAM アクセス許可を引き受けることはできません。Fargate Pod 内のコンテナに他の AWS のサービスへのアクセス許可を付与するには、サービスアカウントの IAM ロール を使用する必要があります。
Fargate プロファイルを作成する前に、AmazonEKSFargatePodExecutionRolePolicy
で IAM ロールを作成する必要があります。
正しく設定された既存の Pod 実行ロールをチェックする
次の手順を使用して、正しく設定された Amazon EKS の Pod 実行ロールがアカウントにすでに存在しているかをチェックします。「混乱した代理」のセキュリティ上の問題を回避するには、ロールが SourceArn
に基づいてアクセスを制限することが重要です。必要に応じて実行ロールを変更し、他のクラスター上で Fargate プロファイルのサポートを含めることができます。
IAM コンソールで Amazon EKS Pod 実行ロールをチェックするには
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
左のナビゲーションペインで、[ロール] を選択します。
-
[ロール] ページで、ロールの一覧から AmazonEKSFargatePodExecutionRole を検索します。ロールが存在しない場合は、「Amazon EKS の Pod 実行ロールの作成」を参照してロールを作成します。ロールが存在する場合は、そのロールを選択します。
-
[AmazonEKSFargatePodExecutionRole] ページで、次の操作を実行します。
-
[許可] を選択します。
-
AmazonEKSFargatePodExecutionRolePolicy Amazon マネージドポリシーがロールにアタッチされていることを確認します。
-
[信頼関係] を選択します。
-
[信頼ポリシーを編集] を選択します。
-
-
[信頼ポリシーを編集] ページで、信頼関係に次のポリシーが含まれており、クラスター上で Fargate プロファイルの行が存在していることを確認します。そうである場合は、[キャンセル] を選択します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }ポリシーは一致するが、クラスター上で Fargate プロファイルを指定する行が存在しない場合は、
ArnLike
オブジェクトの上部に次の行を追加します。
をクラスターが存在する AWS リージョン で、region-code
をアカウント ID で、111122223333
を自分のクラスター名に置き換えます。my-cluster
"aws:SourceArn": "arn:aws:eks:
region-code
:111122223333
:fargateprofile/my-cluster
/*",ポリシーが一致しない場合は、前のポリシー全体をフォームにコピーして、[ポリシーの更新] を選択します。
をクラスターのある AWS リージョン に置き換えます。アカウントのすべての AWS リージョン で同じロールを使用する場合は、region-code
region-code
を*
で置き換えます。
をアカウント ID に置き換え、111122223333
を自分のクラスター名に置き換えます。アカウント内のすべてのクラスターに同じロールを使用する場合は、my-cluster
をmy-cluster
*
に置き換えます。
Amazon EKS の Pod 実行ロールの作成
クラスター用の Amazon EKS Pod 実行ロールをまだお持ちでない場合は、AWS Management Console または AWS CLI を使用して作成できます。