Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

設定
お問い合わせ
フィードバック
AWS Documentation
今すぐ無料サインアップ »

従来の Pod セキュリティ ポリシー (PSP) から移行する

PDF
RSS
フォーカスモード
従来の Pod セキュリティ ポリシー (PSP) から移行する - アマゾン EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

PodSecurityPolicyKubernetes1.21 で非推奨となり、Kubernetes 1.25 で削除されました。クラスターで PodSecurityPolicy を使用している場合はワークロードの中断を避けるために、クラスターをバージョン *1.25 にアップグレードする前に、組み込みの Kubernetes ポッドセキュリティ標準 (PSS) または Policy as Code ソリューションに移行する必要があります。* 詳細についてはよくある質問を選択してください。

PodSecurityPolicy はクラスター管理者が Pod 仕様のセキュリティセンシティブな側面を制御できるようにする組み込みのアドミッションコントローラーです。Pod がその PSP の要件を満たしている場合、その Pod は通常どおりクラスターに受け入れられます。Pod が PSP の要件を満たしていない場合、Pod は拒否され、実行できません。

PSP について

PodSecurityPolicy はクラスター管理者が Pod 仕様のセキュリティセンシティブな側面を制御できるようにする組み込みのアドミッションコントローラーです。Pod がその PSP の要件を満たしている場合、その Pod は通常どおりクラスターに受け入れられます。Pod が PSP の要件を満たしていない場合、Pod は拒否され、実行できません。

これは Kubernetes プロジェクトにおけるアップストリームの変更であり、アマゾン EKS で行われた変更ではありません。PSP はKubernetes 1.21 で非推奨となり、Kubernetes 1.25 で削除されました。Kubernetes コミュニティはPSP の深刻なユーザビリティの問題を特定しました。これらには意図したよりも広範な許可の誤った付与や、特定の状況で PSPs が適用する検査における困難が含まれます。これらの問題は重大な変更を加えることなく対処することができませんでした。これを主な理由として、Kubernetes コミュニティは PSP を削除することを決定しました。

PSP の削除は アマゾン EKS に固有のものですか? それともアップストリーム Kubernetes で削除されていますか?

これは Kubernetes プロジェクトにおけるアップストリームの変更であり、アマゾン EKS で行われた変更ではありません。PSP はKubernetes 1.21 で非推奨となり、Kubernetes 1.25 で削除されました。Kubernetes コミュニティはPSP の深刻なユーザビリティの問題を特定しました。これらには意図したよりも広範な許可の誤った付与や、特定の状況で PSPs が適用する検査における困難が含まれます。これらの問題は重大な変更を加えることなく対処することができませんでした。これを主な理由として、Kubernetes コミュニティは PSP を削除することを決定しました。

クラスターで PSPs を使用しているかどうかを確認するために、次のコマンドを実行できます。

kubectl get psp

クラスター内の PSPs が影響を与えている Pods を確認するには次のコマンドを実行してください。このコマンドは Pod 名、名前空間、PSPs を出力します。

kubectl get pod -A -o jsonpath='{range.items[?(@.metadata.annotations.kubernetes\.io/psp)]}{.metadata.name}{"	"}{.metadata.namespace}{"	"}{.metadata.annotations.kubernetes\.io/psp}{"
"}'

アマゾン EKS クラスターで PSPs を使用しているかどうかを確認するにはどうすればよいですか?

クラスターで PSPs を使用しているかどうかを確認するために、次のコマンドを実行できます。

kubectl get psp

クラスター内の PSPs が影響を与えている Pods を確認するには次のコマンドを実行してください。このコマンドは Pod 名、名前空間、PSPs を出力します。

kubectl get pod -A -o jsonpath='{range.items[?(@.metadata.annotations.kubernetes\.io/psp)]}{.metadata.name}{"	"}{.metadata.namespace}{"	"}{.metadata.annotations.kubernetes\.io/psp}{"
"}'

クラスターを 1.25 にアップグレードする前に、PSPs を次のいずれかに移行する必要があります。

  • Kubernetes PSS.

  • Kubernetes 環境からの Policy as Code ソリューション。

PSP が非推奨となったことや、最初から Pod セキュリティを制御することに対する継続的なニーズに対応して、Kubernetes コミュニティは (PSS)Pod Security Admission (PSA) を使用して組み込みソリューションを作成しました。PSA ウェブフックはPSS で定義されているコント役割を実装します。

組み込みの PSS に PSPs を移行するためのベストプラクティスは「EKS ベストプラクティスガイド」で確認できます。また、「アマゾン EKS でのポッドセキュリティ標準の実装」のブログを確認することをお勧めします。追加のリファレンスには「PodSecurityPolicy から組み込み PodSecurity アドミッションコントローラーへの移行」、および「PodSecurityPolicies からポッドセキュリティ標準へのマッピング」が含まれます。

Policy as Code ソリューションはクラスターユーザーをガイドするガードレールを提供し、規定の自動化されたコント役割を通じて望ましくない動作を防止します。Policy as Code ソリューションは通常、Kubernetes ダイナミックアドミッションコントローラーを使用して、ウェブフック呼び出しで Kubernetes API サーバーリクエストのフローをインターセプトします。Policy as Code ソリューションはコードとして記述および保存されたポリシーに基づいて、リクエストペイロードを変更および検証します。

Kubernetes で利用できるオープンソースの Policy as Code ソリューションがいくつかあります。PSPs を Policy as Code ソリューションに移行するためのベストプラクティスを確認するにはGitHub のポッドセキュリティのページの「Policy as Code」セクションを参照してください。

アマゾン EKS クラスターで PSPs を使用している場合、どうすればよいですか?

クラスターを 1.25 にアップグレードする前に、PSPs を次のいずれかに移行する必要があります。

  • Kubernetes PSS.

  • Kubernetes 環境からの Policy as Code ソリューション。

PSP が非推奨となったことや、最初から Pod セキュリティを制御することに対する継続的なニーズに対応して、Kubernetes コミュニティは (PSS)Pod Security Admission (PSA) を使用して組み込みソリューションを作成しました。PSA ウェブフックはPSS で定義されているコント役割を実装します。

組み込みの PSS に PSPs を移行するためのベストプラクティスは「EKS ベストプラクティスガイド」で確認できます。また、「アマゾン EKS でのポッドセキュリティ標準の実装」のブログを確認することをお勧めします。追加のリファレンスには「PodSecurityPolicy から組み込み PodSecurity アドミッションコントローラーへの移行」、および「PodSecurityPolicies からポッドセキュリティ標準へのマッピング」が含まれます。

Policy as Code ソリューションはクラスターユーザーをガイドするガードレールを提供し、規定の自動化されたコント役割を通じて望ましくない動作を防止します。Policy as Code ソリューションは通常、Kubernetes ダイナミックアドミッションコントローラーを使用して、ウェブフック呼び出しで Kubernetes API サーバーリクエストのフローをインターセプトします。Policy as Code ソリューションはコードとして記述および保存されたポリシーに基づいて、リクエストペイロードを変更および検証します。

Kubernetes で利用できるオープンソースの Policy as Code ソリューションがいくつかあります。PSPs を Policy as Code ソリューションに移行するためのベストプラクティスを確認するにはGitHub のポッドセキュリティのページの「Policy as Code」セクションを参照してください。

Kubernetes バージョン 1.13 以降の アマゾン EKS クラスターにはeks.privileged という名前のデフォルトの PSP があります。このポリシーは1.24 および以前のクラスターで作成されます。1.25 以降のクラスターでは使用されません。アマゾン EKS はこの PSP を PSS ベースの適用に自動的に移行します。お客様側でのご対応は不要です。

クラスターで PSP が eks.privileged を呼び出しました。これは何ですか? そして、これについてどのように対応すればよいですか?

Kubernetes バージョン 1.13 以降の アマゾン EKS クラスターにはeks.privileged という名前のデフォルトの PSP があります。このポリシーは1.24 および以前のクラスターで作成されます。1.25 以降のクラスターでは使用されません。アマゾン EKS はこの PSP を PSS ベースの適用に自動的に移行します。お客様側でのご対応は不要です。

いいえ。アマゾン EKS によって作成された PSP である eks.privileged に加えて、1.25 にアップグレードしても、クラスター内の他の PSPs は変更されません。

クラスターをバージョン 1.25 に更新すると、アマゾン EKS は既存のクラスターに存在する PSPs に対して変更を加えますか?

いいえ。アマゾン EKS によって作成された PSP である eks.privileged に加えて、1.25 にアップグレードしても、クラスター内の他の PSPs は変更されません。

いいえ。まだ PSP から移行していない場合でも、クラスターのバージョン 1.25 への更新が アマゾン EKS によって妨げられることはありません。

PSP から移行していない場合、クラスターのバージョン 1.25 への更新は アマゾン EKS によって妨げられますか?

いいえ。まだ PSP から移行していない場合でも、クラスターのバージョン 1.25 への更新が アマゾン EKS によって妨げられることはありません。

PSP を含むクラスターが Kubernetes バージョン 1.25 にアップグレードされると、API サーバーは 1.25 の PSP リソースを認識しません。これにより、Pods が誤ったセキュリティスコープを取得する可能性があります。影響の詳細なリストについては「PodSecurityPolicy から組み込みの PodSecurity アドミッションコントローラーに移行する」を参照してください。

クラスターをバージョン 1.25 に更新する前に、PSPs を PSS/PSA または Policy as Code ソリューションに移行するのを忘れた場合はどうなりますか? クラスターを更新した後に移行できますか?

PSP を含むクラスターが Kubernetes バージョン 1.25 にアップグレードされると、API サーバーは 1.25 の PSP リソースを認識しません。これにより、Pods が誤ったセキュリティスコープを取得する可能性があります。影響の詳細なリストについては「PodSecurityPolicy から組み込みの PodSecurity アドミッションコントローラーに移行する」を参照してください。

Windows ワークロードに対する特定の影響はないと想定されています。PodSecurityContext はWindows Pods の PodSpec v1 API で windowsOptions というフィールドを持っています。これは Kubernetes 1.25 で PSS を使用します。Windows ワークロードの PSS の適用に関する詳細とベストプラクティスについては「EKS ベストプラクティスガイド」と Kubernetes ドキュメントを参照してください。

この変更はWindows ワークロードのポッドセキュリティにどのように影響しますか?

Windows ワークロードに対する特定の影響はないと想定されています。PodSecurityContext はWindows Pods の PodSpec v1 API で windowsOptions というフィールドを持っています。これは Kubernetes 1.25 で PSS を使用します。Windows ワークロードの PSS の適用に関する詳細とベストプラクティスについては「EKS ベストプラクティスガイド」と Kubernetes ドキュメントを参照してください。

プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.