Amazon Elastic Kubernetes Service に関する AWS 管理ポリシー - Amazon EKS

Amazon Elastic Kubernetes Service に関する AWS 管理ポリシー

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。

AWS マネージドポリシーは、特定のユースケースに対して最小特権の許可を付与しない場合があることに注意してください。これは、すべての AWS 顧客が使用できる状態になっているためです。ユースケース別にカスタマーマネージドポリシーを定義して、マネージドポリシーを絞り込むことをお勧めします。

AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS サービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS 管理ポリシー」を参照してください。

AWS 管理ポリシー: AmazonEKS_CNI_Policy

AmazonEKS_CNI_Policy ポリシーを IAM エンティティにアタッチできます。Amazon EC2 ノードグループを作成する前に、このポリシーをノード IAM ロール、または Amazon VPC CNI plugin for Kubernetes で特に使用する IAM ロールにアタッチする必要があります。これは、ユーザーに代わってアクションを実行できるようにするためです。プラグインでのみ使用されるロールにポリシーをアタッチすることをお勧めします。詳細については、Amazon VPC CNIおよびIRSA を使用するように Amazon VPC CNI プラグインを設定するを参照してください。

許可の詳細

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • ec2:*NetworkInterface および ec2:*PrivateIpAddresses - Amazon VPC CNI プラグインが Pods の Elastic Network Interface や IP アドレスのプロビジョニングなどのアクションを実行し、Amazon EKS で実行されるアプリケーションにネットワークを提供できるようにします。

  • ec2 読み取りアクション - Amazon VPC CNI プラグインがインスタンスやサブネットを記述して、Amazon VPC サブネット内の空き IP アドレスの量を確認するなどのアクションを実行できるようにします。VPC CNI は各サブネットの空き IP アドレスを使用して、Elastic Network Interface の作成時に使用する空き IP アドレスが最も多いサブネットを選択できます。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKS_CNI_Policy I_Policy」を参照してください。

AWS 管理ポリシー: AmazonEKSClusterPolicy

IAM エンティティに AmazonEKSClusterPolicy をアタッチできます。クラスターを作成する前に、このポリシーが添付されたクラスター IAM ロールを用意する必要があります。Amazon EKS によって管理される Kubernetes クラスターは、お客様に代わって他の AWS サービスへの呼び出しを行います。これにより、サービスで使用するリソースを管理します。

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • autoscaling – Auto Scaling グループの設定を読み取り、更新します。これらの権限は Amazon EKS では使用されませんが、下位互換性のためにポリシーに残ります。

  • ec2 – Amazon EC2 ノードに関連付けられているボリュームとネットワークリソースを操作します。これは、Kubernetes コントロールプレーンがインスタンスをクラスターに結合し、Kubernetes 永続ボリュームによってリクエストされる Amazon EBS ボリュームを動的にプロビジョニングおよび管理できるようにするために必要です。

  • elasticloadbalancing – Elastic Load Balancer を操作し、ノードをターゲットとして追加します。これは、Kubernetes コントロールプレーンが Kubernetes サービスによってリクエストされる Elastic Load Balancer を動的にプロビジョニングできるようにするために必要です。

  • iam - サービスにリンクされたロールを作成します。これは、Kubernetes コントロールプレーンが Kubernetes サービスによってリクエストされる Elastic Load Balancer を動的にプロビジョニングできるようにするために必要です。

  • kms – AWS KMS からキーを読み取ります。これは、Kubernetes コントロールプレーンが etcd に保存される Kubernetes シークレットの シークレット暗号化 を管理するために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSClusterPolicy Policy」を参照してください。

AWS 管理ポリシー: AmazonEKSFargatePodExecutionRolePolicy

IAM エンティティに AmazonEKSFargatePodExecutionRolePolicy をアタッチできます。Fargate プロファイルを作成する前に、Fargate Pod 実行ロールを作成し、このポリシーをアタッチする必要があります。詳細については、ステップ 2: Fargate Pod 実行ロールを作成するおよび起動時にどの Pods が AWS Fargate を使用するのかを定義するを参照してください。

このポリシーはロールに対して、Fargate で Amazon EKS Pods を実行するために必要な他の AWS サービスリソースにアクセスするための権限を付与します。

許可の詳細

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • ecr – Fargate で実行中のポッドが、Amazon ECR に格納されているコンテナイメージを取得できるようにします。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSFargatePodExecutionRolePolicy Policy」を参照してください。

AWS 管理ポリシー: AmazonEKSForFargateServiceRolePolicy

IAM エンティティに AmazonEKSForFargateServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Amazon EKS がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「AWSServiceRoleforAmazonEKSForFargate」を参照してください。

このポリシーは、Fargate タスクを実行するために必要なアクセス権限を Amazon EKS に付与します。このポリシーは、Fargate ノードがある場合にのみ使用されます。

許可の詳細

このポリシーには、Amazon EKS が以下のタスクを完了できるようにする以下の権限が含まれています。

  • ec2 – Elastic Network Interface を作成および削除し、Elastic Network Interface とリソースについて説明します。これは、Amazon EKS Fargate サービスが Fargate ポッドに必要な VPC ネットワーキングを設定できるようにするために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSForFargateServiceRolePolicy Policy」を参照してください。

AWS 管理ポリシー: AmazonEKSNetworkingPolicy

IAM エンティティに AmazonEKSNetworkingPolicy をアタッチできます。このポリシーをクラスター IAM ロールにアタッチして、EKS がアカウントで管理できるリソースを拡張できます。

このポリシーは、Amazon EKS が EKS クラスターのネットワークインターフェイスを作成および管理するために必要なアクセス許可を付与し、コントロールプレーンとワーカーノードが適切に通信および機能するように設計されています。

許可の詳細

このポリシーは、Amazon EKS がクラスターのネットワークインターフェイスを管理できるようにする以下のアクセス許可を付与します。

  • ec2 ネットワークインターフェイスアクセス許可:

    • ec2:CreateNetworkInterface - EC2 ネットワークインターフェイスの作成を許可します。

    • このポリシーには、このアクセス許可の使用を EKS クラスター名と Kubernetes CNI ノード名でタグ付けされたネットワークインターフェイスに制限するための条件が含まれています。

    • ec2:CreateTags - CreateNetworkInterface アクションによって作成されたネットワークインターフェイスへのタグの追加を許可します。

  • ec2 ネットワークインターフェイス管理のアクセス許可:

    • ec2:AttachNetworkInterfaceec2:DetachNetworkInterface - EC2 インスタンスへのネットワークインターフェイスのアタッチとデタッチを許可します。

    • ec2:UnassignPrivateIpAddressesec2:UnassignIpv6Addressesec2:AssignPrivateIpAddressesec2:AssignIpv6Addresses - ネットワークインターフェイスの IP アドレス割り当ての管理を許可します。

    • これらのアクセス許可は、EKS クラスター名でタグ付けされたネットワークインターフェイスに制限されます。

JSON ポリシードキュメントの最新バージョンを確認するには、AWS マネージドポリシーリファレンスガイドの「AmazonEKSNetworkingPolicy」を参照してください。

AWS 管理ポリシー: AmazonEKSServicePolicy

IAM エンティティに AmazonEKSServicePolicy をアタッチできます。2020 年 4 月 16 日より前に作成されたクラスターでは、IAM ロールを作成し、このポリシーをアタッチする必要がありました。2020 年 4 月 16 日以降に作成されたクラスターでは、ロールを作成する必要はなく、このポリシーの割り当ても必要ありません。IAM プリンシパルを使用してクラスターを作成する場合、iam:CreateServiceLinkedRole 権限がある場合、AWSServiceRoleforAmazonEKS のサービスにリンクされたロールが自動的に作成されます。このサービスにリンクされたロールには、管理ポリシー: AmazonEKSServiceRolePolicy がアタッチされています。

このポリシーにより、Amazon EKS は Amazon EKS クラスターを操作するために必要なリソースを作成および管理できるようになります。

許可の詳細

このポリシーには、Amazon EKS が以下のタスクを完了できるようにする以下の権限が含まれています。

  • eks - 更新を開始した後、クラスターの Kubernetes バージョンを更新します。この権限は Amazon EKS では使用されませんが、下位互換性のためにポリシーに残ります。

  • ec2 – Elastic Network Interface およびその他のネットワークリソースとタグを操作します。これは、ノードと Kubernetes コントロールプレーン間の通信を容易にするネットワーキングを設定するために、Amazon EKS で必要です。セキュリティグループに関する情報を確認します。セキュリティグループのタグを更新します。

  • route53 – VPC をホストゾーンに関連付けます。これは、Kubernetes クラスター API サーバーのプライベートエンドポイントネットワーキングを有効にするために、Amazon EKS で必要です。

  • logs – ログイベント これは、Amazon EKS が Kubernetes コントロールプレーンログを CloudWatch に送信できるようにするために必要です。

  • iam - サービスにリンクされたロールを作成します。これは、Amazon EKS がユーザーに代わって Amazon EKS でのサービスにリンクされたロールのアクセス許可 のサービスにリンクされたロールを作成するために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSServicePolicy olicy」を参照してください。

AWS 管理ポリシー: AmazonEKSServiceRolePolicy

IAM エンティティに AmazonEKSServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Amazon EKS がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon EKS でのサービスにリンクされたロールのアクセス許可」を参照してください。iam:CreateServiceLinkedRole 権限のある IAM プリンシパルを使用してクラスターを作成する場合、AWSServiceRoleforAmazonEKS のサービスにリンクされたロールが自動的に作成され、このポリシーがアタッチされます。

このポリシーにより、サービスにリンクされたロールはユーザーに代わって AWS サービスを呼び出します。

許可の詳細

このポリシーには、Amazon EKS が以下のタスクを完了できるようにする以下の権限が含まれています。

  • ec2 – Elastic Network Interface と Amazon EC2 インスタンス、クラスターセキュリティグループ、およびクラスターの作成に必要な VPC を作成、記述します。詳細については、「クラスターの Amazon EKS セキュリティグループ要件を表示する」を参照してください。セキュリティグループに関する情報を確認します。セキュリティグループのタグを更新します。

  • iam – IAM ロールにアタッチされているすべての管理ポリシーを一覧表示します。これは、Amazon EKS がクラスターの作成に必要なすべての管理ポリシーと権限を一覧表示および検証できるようにするために必要です。

  • VPC をホストゾーンに関連付ける - これは、Kubernetes クラスター API サーバーのプライベートエンドポイントネットワーキングを有効にするために、Amazon EKS で必要です。

  • ログイベント - これは、Amazon EKS が Kubernetes コントロールプレーンログを CloudWatch に送信できるようにするために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSServiceRolePolicy」を参照してください。

AWS 管理ポリシー: AmazonEKSVPCResourceController

AmazonEKSVPCResourceController ポリシーは IAM ID にアタッチできます。ポッドのセキュリティグループを使用している場合は、ユーザーに代わってアクションを実行させるために、このポリシーを Amazon EKS クラスターの IAM ロールにアタッチする必要があります。

このポリシーは、ノードの Elastic Network Interface と IP アドレスを管理するアクセス権限をクラスターロールに付与します。

許可の詳細

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • ec2 - Elastic Network Interface と IP アドレスを管理し、Pod セキュリティグループと Windows ノードをサポートします。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSVPCResourceController」を参照してください。

AWS 管理ポリシー: AmazonEKSWorkerNodePolicy

AmazonEKSWorkerNodePolicy ポリシーを IAM エンティティにアタッチできます。このポリシーを、Amazon EKS がユーザーに代わってアクションを実行することを許可する Amazon EC2 ノードを作成するときに指定するノード IAM ロールにアタッチしなければなりません。eksctl を使用してノードグループを作成すると、ノード IAM ロールが作成され、このポリシーをロールに自動的にアタッチします。

このポリシーは、Amazon EKS Amazon EC2 ノードに Amazon EKS クラスターに接続するためのアクセス権限を付与します。

許可の詳細

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • ec2 – インスタンスボリュームとネットワーク情報を読み取ります。これは、Kubernetes ノードが Amazon EKS クラスターに参加するのに必要な Amazon EC2 リソースに関する情報を記述できるようにするために必要です。

  • eks – オプションで、ノードのブートストラップの一部としてクラスターを記述します。

  • eks-auth:AssumeRoleForPodIdentity – ノード上の EKS ワークロードの認証情報を取得できるようにします。これは、EKS Pod Identity が正しく機能するために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSWorkerNodePolicy Policy」を参照してください。

AWS マネージドポリシー: AmazonEKSWorkerNodeMinimalPolicy

IAM エンティティに AmazonEKSWorkerNodeMinimalPolicy をアタッチできます。このポリシーを、Amazon EKS がユーザーに代わってアクションを実行することを許可する Amazon EC2 ノードを作成するときに指定するノード IAM ロールにアタッチすることができます。

このポリシーは、Amazon EKS Amazon EC2 ノードに Amazon EKS クラスターに接続するためのアクセス権限を付与します。このポリシーのアクセス許可は、AmazonEKSWorkerNodePolicy に比べて少なくなります。

許可の詳細

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • eks-auth:AssumeRoleForPodIdentity – ノード上の EKS ワークロードの認証情報を取得できるようにします。これは、EKS Pod Identity が正しく機能するために必要です。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSWorkerNodePolicy Policy」を参照してください。

AWS 管理ポリシー: AWSServiceRoleForAmazonEKSNodegroup

IAM エンティティに AWSServiceRoleForAmazonEKSNodegroup をアタッチすることはできません。このポリシーは、ユーザーに代わって Amazon EKS がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon EKS でのサービスにリンクされたロールのアクセス許可」を参照してください。

このポリシーは、AWSServiceRoleForAmazonEKSNodegroup ロール権限を付与し、アカウント内の Amazon EC2 ノードグループを作成および管理できるようにします。

許可の詳細

このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。

  • ec2 – セキュリティグループ、タグ、キャパシティ予約、および起動テンプレートを操作します。これは、Amazon EKS マネージド型ノードグループがリモートアクセス設定を有効にし、マネージド型ノードグループで使用できるキャパシティ予約を記述するために必要です。さらに、Amazon EKS マネージド型ノードグループは、ユーザーに代わって起動テンプレートを作成します。これは、各マネージド型ノードグループをバックアップする Amazon EC2 Auto Scaling グループを設定するためです。

  • iam – サービスにリンクされたロールを作成し、ロールを渡します。これは、Amazon EKS マネージド型ノードグループが、マネージドノードグループの作成時に渡されるロールのインスタンスプロファイルを管理するために必要です。このインスタンスプロファイルは、マネージド型ノードグループの一部として起動される Amazon EC2 インスタンスによって使用されます。Amazon EKS は、Amazon EC2 Auto Scaling グループなどの他のサービスに対してサービスリンクされたロールを作成する必要があります。これらの権限は、マネージド型ノードグループの作成に使用されます。

  • autoscaling – セキュリティの Auto Scaling グループを使用します。これは、Amazon EKS マネージド型ノードグループが、各マネージドノードグループをバックアップする Amazon EC2 Auto Scaling グループを管理するために必要です。また、ノードグループの更新中にノードが終了またはリサイクルされたときに Pods を強制撤去させるなどの機能をサポートするためにも使用されます。

JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSServiceRoleForAmazonEKSNodegroup」を参照してください。

AWS 管理ポリシー: AmazonEBSCSIDriverPolicy

AmazonEBSCSIDriverPolicy ポリシーは、Amazon EBS Container Storage Interface (CSI) ドライバーが、ユーザーに代わってボリュームを作成、変更、アタッチ、デタッチ、削除できるようにします。また、EBS CSI ドライバーに、スナップショットの作成と削除、インスタンス、ボリューム、およびスナップショットの一覧表示を行う権限も付与します。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEBSCSIDriverServiceRolePolicy」を参照してください。

AWS マネージドポリシー: AmazonEFSCSIDriverPolicy

AmazonEFSCSIDriverPolicy ポリシーでは、Amazon EFS コンテナストレージインターフェイス (CSI) がユーザーに代わってアクセスポイントを作成および削除できるようにすることができます。また、Amazon EFS CSI ドライバーに、アクセスポイント、ファイルシステム、マウントターゲット、Amazon EC2 アベイラビリティゾーンを一覧表示するアクセス許可を付与することもできます。

JSON ポリシードキュメントの最新バージョンを確認するには、AWS マネージドポリシーリファレンスガイドの「AmazonEFSCSIDriverServiceRolePolicy」を参照してください。

AWS マネージドポリシー: AmazonEKSLocalOutpostClusterPolicy

このポリシーを IAM エンティティにアタッチできます。ローカルクラスターを作成する前に、このポリシーをクラスターロールにアタッチする必要があります。Amazon EKS によって管理される Kubernetes クラスターは、お客様に代わって他の AWS サービスへの呼び出しを行います。これにより、サービスで使用するリソースを管理します。

AmazonEKSLocalOutpostClusterPolicy には以下の権限が含まれています。

  • ec2 - Amazon EC2 インスタンスがコントロールプレーンインスタンスとして正常にクラスターに参加するために必要なアクセス許可です。

  • ssm - Amazon EC2 Systems Manager がコントロールプレーンインスタンスに接続できるようにします。これは、アカウントのローカルクラスターと通信して管理するために、Amazon EKS によって使用されます。

  • logs - インスタンスが Amazon CloudWatch にログをプッシュできるようにします。

  • secretsmanager - インスタンスがコントロールプレーンインスタンスのブートストラップデータを AWS Secrets Manager から安全に取得および削除できるようにします。

  • ecr - コントロールプレーンインスタンス上で動作している Pods とコンテナが、Amazon Elastic Container Registry に格納されているコンテナイメージをプルできるようにします。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSLocalOutPostClusterPolicy」を参照してください。

AWS マネージドポリシー: AmazonEKSLocalOutpostServiceRolePolicy

このポリシーを IAM エンティティにアタッチすることはできません。iam:CreateServiceLinkedRole 権限のある IAM プリンシパルを使用してクラスターを作成する場合、Amazon EKS は、AWSServiceRoleforAmazonEKSLocalOutpost のサービスにリンクされたロールを自動的に作成し、このポリシーをアタッチします。このポリシーは、サービスにリンクされたロールはローカルクラスターの代わりに AWS サービスを呼び出すことを許可します。

AmazonEKSLocalOutpostServiceRolePolicy には以下の権限が含まれています。

  • ec2 - Amazon EKS がセキュリティ、ネットワーク、その他のリソースと連携して、アカウント内のコントロールプレーンインスタンスを正常に起動および管理できるようにします。

  • ssm - Amazon EC2 Systems Manager がコントロールプレーンインスタンスに接続できるようにします。これは、アカウントのローカルクラスターと通信して管理するために、Amazon EKS によって使用されます。

  • iam - Amazon EKS がコントロールプレーンインスタンスに関連付けられたインスタンスプロファイルを管理できるようにします。

  • secretsmanager - Amazon EKS がコントロールプレーンインスタンスのブートストラップデータを AWS Secrets Manager に格納できるようにします。これにより、インスタンスのブートストラップ中に安全に参照できるようになります。

  • outposts - Amazon EKS がお客様のアカウントから Outpost 情報を取得して、Outpost でローカルクラスターを正常に起動できるようにします。

JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSLocalOutPostServiceRolePolicy」を参照してください。

Amazon EKS による AWS 管理ポリシーの更新

Amazon EKS の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するには、Amazon EKS ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。

変更 説明 日付

AWS 管理ポリシー: AmazonEKSNetworkingPolicy について説明しました。

AWS は AmazonEKSNetworkingPolicy を導入しました。

2024 年 10 月 28 日

AmazonEKSServicePolicy および AmazonEKSServiceRolePolicy にアクセス許可を追加しました。

EKS がセキュリティグループ情報を読み取り、関連するタグを更新できるように、ec2:GetSecurityGroupsForVpc および関連するタグの許可を追加しました。

2024 年 10 月 10 日

AmazonEKSWorkerNodeMinimalPolicy を導入しました。

AWS が AmazonEKSWorkerNodeMinimalPolicy を導入しました。

2024 年 10 月 3 日

AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。

Amazon EKS が管理する Auto Scaling グループで Amazon EKS が AZRebalance を一時停止および再開できるようにする autoscaling:ResumeProcesses および autoscaling:SuspendProcesses アクセス許可が追加されました。

2024 年 8 月 21 日

AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。

Amazon EKS がユーザーのアカウントでキャパシティ予約を記述できるようにする ec2:DescribeCapacityReservations アクセス許可を追加しました。CAPACITY_BLOCK ノードグループでスケジュールされたスケーリングの設定を有効にする autoscaling:PutScheduledUpdateGroupAction アクセス許可を追加しました。

2024 年 6 月 27 日

AmazonEKS _CNI_Policy – 既存のポリシーへの更新

Amazon EKS は、Amazon VPC CNI plugin for Kubernetes が Amazon VPC サブネット内の空き IP アドレスの量を確認できるようにする新しい ec2:DescribeSubnets 許可を追加しました。VPC CNI は各サブネットの空き IP アドレスを使用して、Elastic Network Interface の作成時に使用する空き IP アドレスが最も多いサブネットを選択できます。

2024 年 3 月 4 日

AmazonEKSWorkerNodePolicy – 既存のポリシーへの更新

Amazon EKS は EKS Pod Identity を許可する新しいアクセス権限を追加しました。Amazon EKS Pod Identity エージェントはノードロールを使用します。

2023 年 11 月 26 日

AmazonEFSCSIDriverPolicy を導入しました。

AWS は AmazonEFSCSIDriverPolicy を導入しました。

2023 年 7 月 26 日

AmazonEKSClusterPolicy に権限を追加しました。

ロードバランサーを作成しながら、サブネットの自動検出中に Amazon EKS が AZ の詳細を取得できるようにする ec2:DescribeAvailabilityZones 許可が追加されました。

2023 年 2 月 7 日

AmazonEBSCSIDriverPolicy のポリシー条件が更新されました。

StringLike キーフィールドにワイルドカード文字を含む無効なポリシー条件を削除しました。また ec2:DeleteVolume に新しい条件 ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*" も追加され、ツリー内プラグインで作成されたボリュームを EBS CSI ドライバーが削除できるようになりました。

2022 年 11 月 17 日

AmazonEKSLocalOutpostServiceRolePolicy にアクセス許可を追加しました。

前提条件の検証とマネージドライフサイクルの管理が向上するように、ec2:DescribeVPCAttributeec2:GetConsoleOutputec2:DescribeSecret を追加しました。また、Outposts のコントロールプレーン Amazon EC2 インスタンスの配置制御をサポートするため、ec2:DescribePlacementGroups"arn:aws:ec2:*:*:placement-group/*"ec2:RunInstances が追加しました。

2022 年 10 月 24 日

AmazonEKSLocalOutpostClusterPolicy の Amazon Elastic Container Registry のアクセス権限を更新します。

ecr:GetDownloadUrlForLayer アクションを、全リソースセクションからスコープされたセクションに移動しました。 arn:aws:ecr:*:*:repository/eks/ リソースを追加しました。 arn:aws:ecr: リソースを削除しました。このリソースは、追加された arn:aws:ecr:*:*:repository/eks/* リソースでカバーします。

2022 年 10 月 20 日

AmazonEKSLocalOutpostClusterPolicy にアクセス許可を追加しました。

クラスターコントロールプレーンインスタンスがいくつかの kubelet 引数を更新できるように、 arn:aws:ecr:*:*:repository/kubelet-config-updater Amazon Elastic Container Registry リポジトリを追加しました。

2022 年 8 月 31 日

AmazonEKSLocalOutpostClusterPolicy を導入しました。

AWS は AmazonEKSLocalOutpostClusterPolicy を導入しました。

2022 年 8 月 24 日

AmazonEKSLocalOutpostServiceRolePolicy を導入しました。

AWS は AmazonEKSLocalOutpostServiceRolePolicy を導入しました。

2022 年 8 月 23 日

AmazonEBSCSIDriverPolicy を導入しました。

AWS は AmazonEBSCSIDriverPolicy を導入しました。

2022 年 4 月 4 日

AmazonEKSWorkerNodePolicy に権限を追加しました。

インスタンスレベルのプロパティを自動検出できる Amazon EKS に最適化された AMI を有効化する ec2:DescribeInstanceTypes を追加しました。

2022 年 3 月 21 日

AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。

Amazon EKS がメトリクスの収集を有効にすることを許可する autoscaling:EnableMetricsCollection アクセス許可を追加しました。

2021 年 12 月 13 日

AmazonEKSClusterPolicy に権限を追加しました。

ec2:DescribeAccountAttributesec2:DescribeAddressesec2:DescribeInternetGateways の権限を追加し、Amazon EKS がNetwork Load Balancer のサービスにリンクされたロールを作成できるようになりました。

2021 年 6 月 17 日

Amazon EKS が変更の追跡を開始しました。

Amazon EKS が AWS 管理ポリシーの変更の追跡を開始しました。

2021 年 6 月 17 日