このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
Amazon EKS Pod Identity エージェントのセットアップ
EKS Pod Identity の関連付けは、Amazon EC2 インスタンスプロファイルから Amazon EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能があります。
Amazon EKS Pod Identity は、追加の EKS Auth API と各ノードで実行されるエージェントポッドを使用して、ワークロードに認証情報を提供します。
考慮事項
-
IPv6
EKS Pod Identity エージェントはデフォルトでポッドが認証情報をリクエストするために
IPv4
とIPv6
のアドレスをリッスンします。エージェントは、IPv4
のループバック (localhost) IP アドレス169.254.170.23
とIPv6
の localhost IP アドレス[fd00:ec2::23]
を使用します。IPv6
アドレスを無効にするか、または localhostIPv6
IP アドレスを禁止すると、エージェントは起動できません。IPv6
を使用できないノードでエージェントを起動するには、「EKS Pod Identity エージェントで IPv6 を無効にする」の手順に従ってIPv6
設定を無効にします。
Amazon EKS Pod Identity エージェントの作成
エージェントの前提条件
-
既存の Amazon EKS クラスター。デプロイするには、「Amazon EKS の使用を開始する」を参照してください。クラスタバージョンとプラットフォームバージョンは、EKS Pod Identity クラスターバージョン に記載されているバージョン以降である必要があります。
-
ノードロールには、エージェントが EKS Auth API で
AssumeRoleForPodIdentity
アクションを実行する権限があります。AWS 管理ポリシー: AmazonEKSWorkerNodePolicy を使用することも、次のようなカスタムポリシーを追加することもできます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }
このアクションをタグで制限して、エージェントを使用するポッドが引き受けることができるロールを制限できます。
-
ノードは Amazon ECR にアクセスしてイメージをダウンロードできます。アドオンのコンテナイメージは、Amazon EKS アドオンの Amazon コンテナイメージレジストリを表示する に記載されているレジストリにあります。
なお、イメージの場所を変更して、AWS Management Console の [オプションの設定] や AWS CLI の
--configuration-values
で EKS アドオンのimagePullSecrets
を提供することができます。 -
ノードは Amazon EKS Auth API にアクセスできます。プライベートクラスターでは、AWS PrivateLink の
eks-auth
エンドポイントが必要です。