このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
AWS マネージドポリシーはAWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、役割へのアクセス権の割り当てを開始できます。
AWS マネージドポリシーは特定のユースケースに対して最小特権の許可を付与しない場合があることに注意してください。これはすべての AWS 顧客が使用できる状態になっているためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、役割) に影響します。新しい AWS サービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS 管理ポリシー: アマゾンEKS_CNI_Policy
AmazonEKS_CNI_Policy ポリシーを IAM エンティティにアタッチできます。アマゾン EC2 ノードグループを作成する前に、このポリシーをノード IAM 役割、または Amazon VPC CNI plugin for Kubernetes によって特に使用される IAM 役割にアタッチする必要があります。これはユーザーに代わってアクションを実行できるようにするためです。プラグインでのみ使用される役割にポリシーをアタッチすることをお勧めします。詳細についてはアマゾン VPC CNI を使用してPodsに IP を割り当てるおよびIRSA を使用するように アマゾン VPC CNI プラグインを設定するを参照してください。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2:*NetworkInterfaceおよびec2:*PrivateIpAddresses- アマゾン VPC CNI プラグインが Pods の エラスティック・ネットワーク・インターフェイス や IP アドレスのプロビジョニングなどのアクションを実行し、アマゾン EKS で実行されるアプリケーションにネットワークを提供できるようにします。 -
ec2読み取りアクション - アマゾン VPC CNI プラグインがインスタンスやサブネットを記述して、アマゾン VPC サブネット内の空き IP アドレスの量を確認するなどのアクションを実行できるようにします。VPC CNI は各サブネットの空き IP アドレスを使用して、エラスティック・ネットワーク・インターフェイス の作成時に使用する空き IP アドレスが最も多いサブネットを選択できます。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKS_CNI_Policy I_Policy」を参照してください。
AWS 管理ポリシー: アマゾンEKSClusterPolicy
IAM エンティティに AmazonEKSClusterPolicy をアタッチできます。クラスターを作成する前に、このポリシーが添付されたクラスター IAM 役割を用意する必要があります。アマゾン EKS によって管理される Kubernetes クラスターはお客様に代わって他の AWS サービスへの呼び出しを行います。これにより、サービスで使用するリソースを管理します。
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
autoscaling– 自動スケーリング グループの設定を読み取り、更新します。これらの権限は アマゾン EKS では使用されませんが、下位互換性のためにポリシーに残ります。 -
ec2– アマゾン EC2 ノードに関連付けられているボリュームとネットワークリソースを操作します。これはKubernetes コント役割プレーンがインスタンスをクラスターに結合し、Kubernetes 永続ボリュームによってリクエストされる アマゾン EBS ボリュームを動的にプロビジョニングおよび管理できるようにするために必要です。 -
elasticloadbalancing– Elastic ロードバランサー を操作し、ノードをターゲットとして追加します。これはKubernetes コント役割プレーンが Kubernetes サービスによってリクエストされる Elastic ロードバランサー を動的にプロビジョニングできるようにするために必要です。 -
iam- サービスにリンクされた役割を作成します。これはKubernetes コント役割プレーンが Kubernetes サービスによってリクエストされる Elastic ロードバランサー を動的にプロビジョニングできるようにするために必要です。 -
kms– AWS KMS からキーを読み取ります。これはKubernetes コント役割プレーンがetcdに保存される Kubernetes シークレットの シークレット暗号化を管理するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSClusterPolicy Policy」を参照してください。
AWS 管理ポリシー: アマゾンEKSFargatePodExecutionRolePolicy
IAM エンティティに AmazonEKSFargatePodExecutionRolePolicy をアタッチできます。Fargate プロファイルを作成する前に、Fargate Pod 実行役割を作成し、このポリシーをアタッチする必要があります。詳細についてはステップ 2: Fargate Pod 実行ロールを作成するおよび起動時にどの Pods が AWS Fargate を使用するのかを定義するを参照してください。
このポリシーは役割に対して、Fargate で アマゾン EKS Pods を実行するために必要な他の AWS サービスリソースにアクセスするための権限を付与します。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ecr– Fargate で実行中のポッドが、アマゾン ECR に格納されているコンテナイメージを取得できるようにします。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSFargatePodExecutionRolePolicy Policy」を参照してください。
AWS 管理ポリシー: アマゾンEKSForFargateサービスRolePolicy
IAM エンティティに AmazonEKSForFargateServiceRolePolicy をアタッチすることはできません。このポリシーはユーザーに代わって アマゾン EKS がアクションを実行することを許可する、サービスにリンクされた役割にアタッチされます。詳細については「AWSServiceRoleforAmazonEKSForFargate」を参照してください。
このポリシーはFargate タスクを実行するために必要なアクセス権限を アマゾン EKS に付与します。このポリシーはFargate ノードがある場合にのみ使用されます。
アクセス許可の詳細
このポリシーにはアマゾン EKS が以下のタスクを完了できるようにする以下の権限が含まれています。
-
ec2– エラスティック・ネットワーク・インターフェイス を作成および削除し、エラスティック・ネットワーク・インターフェイス とリソースについて説明します。これはアマゾン EKS Fargate サービスが Fargate ポッドに必要な VPC ネットワーキングを設定できるようにするために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSForFargateサービスRolePolicy Policy」を参照してください。
AWS マネージドポリシー: アマゾンEKSComputePolicy
IAM エンティティに AmazonEKSComputePolicy をアタッチできます。このポリシーをクラスター IAM 役割にアタッチして、EKS がアカウントで管理できるリソースを拡張できます。
このポリシーはアマゾン EKS が EKS クラスター用の EC2 インスタンスを作成および管理するために必要な許可と、EC2 を設定するために必要な IAM 許可を付与します。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2許可:-
ec2:CreateFleetおよびec2:RunInstances- EC2 インスタンスの作成と、EKS クラスターノードのための特定の EC2 リソース (イメージ、セキュリティグループ、サブネット) の使用を許可します。 -
ec2:CreateLaunchTemplate- EKS クラスターノードのための EC2 起動テンプレートの作成を許可します。 -
また、このポリシーにはこれらの EC2 許可の使用を、EKS クラスター名および他の関連タグでタグ付けされたリソースに制限する条件も含まれています。
-
ec2:CreateTags-CreateFleet、RunInstances、およびCreateLaunchTemplateアクションによって作成された EC2 リソースへのタグの追加を許可します。
-
-
iam許可:-
iam:AddRoleToInstanceProfile- EKS コンピューティングインスタンスプロファイルへの IAM 役割の追加を許可します。 -
iam:PassRole- 必要な IAM 役割を EC2 サービスに渡すことを許可します。
-
JSON ポリシードキュメントの最新バージョンを確認するには「AWS マネージドポリシーリファレンスガイド」の「アマゾンEKSComputePolicy」を参照してください。
AWS 管理ポリシー: アマゾンEKSNetworkingPolicy
IAM エンティティに AmazonEKSNetworkingPolicy をアタッチできます。このポリシーをクラスター IAM 役割にアタッチして、EKS がアカウントで管理できるリソースを拡張できます。
このポリシーはアマゾン EKS が EKS クラスターのネットワークインターフェイスを作成および管理するために必要なアクセス許可を付与し、コント役割プレーンとワーカーノードが適切に通信および機能するように設計されています。
アクセス許可の詳細
このポリシーはアマゾン EKS がクラスターのネットワークインターフェイスを管理できるようにする以下のアクセス許可を付与します。
-
ec2ネットワークインターフェイスアクセス許可:-
ec2:CreateNetworkInterface- EC2 ネットワークインターフェイスの作成を許可します。 -
このポリシーにはこのアクセス許可の使用を EKS クラスター名と Kubernetes CNI ノード名でタグ付けされたネットワークインターフェイスに制限するための条件が含まれています。
-
ec2:CreateTags-CreateNetworkInterfaceアクションによって作成されたネットワークインターフェイスへのタグの追加を許可します。
-
-
ec2ネットワークインターフェイス管理のアクセス許可:-
ec2:AttachNetworkInterface、ec2:DetachNetworkInterface- EC2 インスタンスへのネットワークインターフェイスのアタッチとデタッチを許可します。 -
ec2:UnassignPrivateIpAddresses、ec2:UnassignIpv6Addresses、ec2:AssignPrivateIpAddresses、ec2:AssignIpv6Addresses- ネットワークインターフェイスの IP アドレス割り当ての管理を許可します。 -
これらのアクセス許可はEKS クラスター名でタグ付けされたネットワークインターフェイスに制限されます。
-
JSON ポリシードキュメントの最新バージョンを確認するにはAWS マネージドポリシーリファレンスガイドの「アマゾンEKSNetworkingPolicy」を参照してください。
AWS マネージドポリシー: アマゾンEKSBlockStoragePolicy
IAM エンティティに AmazonEKSBlockStoragePolicy をアタッチできます。このポリシーをクラスター IAM 役割にアタッチして、EKS がアカウントで管理できるリソースを拡張できます。
このポリシーはアマゾン EKS が EKS クラスターのために EC2 ボリュームとスナップショットを作成、管理、メンテナンスするために必要な許可を付与し、Kubernetes ワークロードが必要とする永続的ストレージをコント役割プレーンとワーカーノードがプロビジョニングおよび使用できるようにします。
アクセス許可の詳細
この IAM ポリシーはアマゾン EKS が EC2 ボリュームとスナップショットを管理できるように、次の許可を付与します:
-
ec2ボリューム管理の許可:-
ec2:AttachVolume、ec2:DetachVolume、ec2:ModifyVolume、ec2:EnableFastSnapshotRestores- EC2 ボリュームの高速スナップショット復元のアタッチ、デタッチ、変更、有効化を許可します。 -
これらの許可はEKS クラスター名でタグ付けされたボリュームに制限されます。
-
ec2:CreateTags-CreateVolumeおよびCreateSnapshotアクションによって作成された EC2 ボリュームとスナップショットへのタグの追加を許可します。
-
-
ec2ボリューム作成の許可:-
ec2:CreateVolume- 新しい EC2 ボリュームの作成を許可します。 -
このポリシーにはこの許可の使用を、EKS クラスター名および他の関連タグでタグ付けされたボリュームに制限する条件が含まれています。
-
ec2:CreateSnapshot- 新しい EC2 ボリュームスナップショットの作成を許可します。 -
このポリシーにはこの許可の使用を、EKS クラスター名および他の関連タグでタグ付けされたスナップショットに制限する条件が含まれています。
-
JSON ポリシードキュメントの最新バージョンを確認するには「AWS マネージドポリシーリファレンスガイド」の「アマゾンEKSBlockStoragePolicy」を参照してください。
AWS マネージドポリシー: アマゾンEKSLoadBalancingPolicy
IAM エンティティに AmazonEKSLoadBalancingPolicy をアタッチできます。このポリシーをクラスター IAM 役割にアタッチして、EKS がアカウントで管理できるリソースを拡張できます。
この IAM ポリシーはアマゾン EKS が Elastic ロードバランサー (ELB) および関連リソースを管理するためにさまざまな AWS サービスと連携するために必要な許可を付与します。
アクセス許可の詳細
このポリシーによって付与される主な許可は次のとおりです:
-
elasticloadbalancing: Elastic ロードバランサー とターゲットグループの作成、変更、管理を許可します。これにはロードバランサー、ターゲットグループ、リスナー、ルールを作成、更新、削除するための許可が含まれます。 -
ec2: Kubernetes コント役割プレーンがインスタンスをクラスターに参加させ、アマゾン EBS ボリュームを管理するために必要なセキュリティグループの作成と管理を許可します。また、インスタンス、VPC、サブネット、セキュリティ グループ、その他のネットワーク リソースなどの EC2 リソースを記述および一覧表示することもできます。 -
iam: Kubernetes コント役割プレーンが ELB を動的にプロビジョニングするために必要な、Elastic Load Balancing 用のサービスにリンクされた役割の作成を許可します。 -
kms: etcd に保存されている Kubernetes シークレットの暗号化をサポートするために Kubernetes コント役割プレーンが必要とする AWS KMS からのキーの読み取りを許可します。 -
wafv2およびshield: ウェブ ACL 関連付けと関連付け解除、および Elastic ロードバランサー のための AWS Shield 保護の作成/削除を許可します。 -
cognito-idp、acm、およびelasticloadbalancing: ユーザープールクライアントの記述、証明書の一覧表示および記述、ならびにターゲットグループの記述を実行するための許可を付与します。これはKubernetes コント役割プレーンが Elastic ロードバランサー を管理するために必要です。
また、このポリシーにはeks:eks-cluster-name タグを使用して、許可の範囲が管理対象の特定の EKS クラスターに設定されているようにするための条件チェックもいくつか含まれています。
JSON ポリシードキュメントの最新バージョンを確認するには「AWS マネージドポリシーリファレンスガイド」の「アマゾンEKSLoadBalancingPolicy」を参照してください。
AWS 管理ポリシー: アマゾンEKSサービスPolicy
IAM エンティティに AmazonEKSServicePolicy をアタッチできます。2020 年 4 月 16 日より前に作成されたクラスターではIAM 役割を作成し、このポリシーをアタッチする必要がありました。2020 年 4 月 16 日以降に作成されたクラスターでは役割を作成する必要はなく、このポリシーの割り当ても必要ありません。IAM プリンシパルを使用してクラスターを作成する場合、iam:CreateServiceLinkedRole 権限がある場合、AWSサービスRoleforアマゾンEKS のサービスにリンクされた役割が自動的に作成されます。このサービスにリンクされた役割には管理ポリシー: アマゾンEKSサービスRolePolicy がアタッチされています。
このポリシーにより、アマゾン EKS は アマゾン EKS クラスターを操作するために必要なリソースを作成および管理できるようになります。
アクセス許可の詳細
このポリシーにはアマゾン EKS が以下のタスクを完了できるようにする以下の権限が含まれています。
-
eks- 更新を開始した後、クラスターの Kubernetes バージョンを更新します。この権限は アマゾン EKS では使用されませんが、下位互換性のためにポリシーに残ります。 -
ec2– エラスティック・ネットワーク・インターフェイス およびその他のネットワークリソースとタグを操作します。これはノードと Kubernetes コント役割プレーン間の通信を容易にするネットワーキングを設定するために、アマゾン EKS で必要です。セキュリティグループに関する情報を確認します。セキュリティグループのタグを更新します。 -
route53– VPC をホストゾーンに関連付けます。これはKubernetes クラスター API サーバーのプライベートエンドポイントネットワーキングを有効にするために、アマゾン EKS で必要です。 -
logs– ログイベント これはアマゾン EKS が Kubernetes コント役割プレーンログを CloudWatch に送信できるようにするために必要です。 -
iam- サービスにリンクされた役割を作成します。これはアマゾン EKS がユーザーに代わって Amazon EKS でのサービスにリンクされたロールのアクセス許可 のサービスにリンクされた役割を作成するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSサービスPolicy olicy」を参照してください。
AWS 管理ポリシー: アマゾンEKSサービスRolePolicy
IAM エンティティに AmazonEKSServiceRolePolicy をアタッチすることはできません。このポリシーはユーザーに代わって アマゾン EKS がアクションを実行することを許可する、サービスにリンクされた役割にアタッチされます。詳細については「Amazon EKS でのサービスにリンクされたロールのアクセス許可」を参照してください。iam:CreateServiceLinkedRole 権限のある IAM プリンシパルを使用してクラスターを作成する場合、AWSサービスRoleforアマゾンEKS のサービスにリンクされた役割が自動的に作成され、このポリシーがアタッチされます。
このポリシーにより、サービスにリンクされた役割はユーザーに代わって AWS サービスを呼び出します。
アクセス許可の詳細
このポリシーにはアマゾン EKS が以下のタスクを完了できるようにする以下の権限が含まれています。
-
ec2– エラスティック・ネットワーク・インターフェイス と アマゾン EC2 インスタンス、クラスターセキュリティグループ、およびクラスターの作成に必要な VPC を作成、記述します。詳細については「クラスターの Amazon EKS セキュリティグループ要件を表示する」を参照してください。セキュリティグループに関する情報を確認します。セキュリティグループのタグを更新します。 -
iam– IAM 役割にアタッチされているすべての管理ポリシーを一覧表示します。これはアマゾン EKS がクラスターの作成に必要なすべての管理ポリシーと権限を一覧表示および検証できるようにするために必要です。 -
VPC をホストゾーンに関連付ける - これはKubernetes クラスター API サーバーのプライベートエンドポイントネットワーキングを有効にするために、アマゾン EKS で必要です。
-
ログイベント - これはアマゾン EKS が Kubernetes コント役割プレーンログを CloudWatch に送信できるようにするために必要です。
-
Put メトリクス – これはアマゾン EKS が Kubernetes コント役割プレーンログを CloudWatch に送信できるようにするために必要です。
-
eks- クラスターアクセスエントリとポリシーを管理し、EKS リソースにアクセスできるユーザーと、それらのユーザーが実行できるアクションをきめ細かく制御できるようにします。これにはコンピューティング、ネットワーキング、ロードバランシング、ストレージオペレーションのために標準アクセスポリシーを関連付けることが含まれます。 -
elasticloadbalancing- EKS クラスターに関連付けられているロードバランサーとそのコンポーネント (リスナー、ターゲットグループ、証明書) を作成、管理、削除します。ロードバランサーの属性とヘルスステータスを表示します。 -
events- EKS クラスターに関連する EC2 イベントと AWS ヘルスイベントをモニタリングするための EventBridge ルールを作成および管理し、インフラストラクチャの変更とヘルスアラートへの自動応答を可能にします。 -
iam- EKS ノードの管理に必要な作成、削除、役割の関連付けなど、「eks」プレフィックスを使用して EC2 インスタンスプロファイルを管理します。 -
pricingおよびshield- AWS の料金情報と Shield 保護ステータスにアクセスし、EKS リソースのコスト管理と高度なセキュリティ機能を可能にします。 -
リソースのクリーンアップ - クラスターのクリーンアップオペレーション中に、ボリューム、スナップショット、起動テンプレート、ネットワークインターフェイスなどの EKS タグ付きリソースを安全に削除します。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSサービスRolePolicy」を参照してください。
AWS 管理ポリシー: アマゾンEKSVPCResourceコントローラー
AmazonEKSVPCResourceController ポリシーを IAM アイデンティティにアタッチできます。ポッドのセキュリティグループを使用している場合はユーザーに代わってアクションを実行させるために、このポリシーを アマゾン EKS クラスターの IAM 役割にアタッチする必要があります。
このポリシーはノードの エラスティック・ネットワーク・インターフェイス と IP アドレスを管理するアクセス権限をクラスター役割に付与します。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2- エラスティック・ネットワーク・インターフェイス と IP アドレスを管理し、Pod セキュリティグループと Windows ノードをサポートします。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSVPCResourceコントローラー」を参照してください。
AWS 管理ポリシー: アマゾンEKSWorkerNodePolicy
AmazonEKSWorkerNodePolicy ポリシーを IAM エンティティにアタッチできます。このポリシーを、アマゾン EKS がユーザーに代わってアクションを実行することを許可する アマゾン EC2 ノードを作成するときに指定するノード IAM 役割にアタッチしなければなりません。eksctl を使用してノードグループを作成すると、ノード IAM 役割が作成され、このポリシーを役割に自動的にアタッチします。
このポリシーはアマゾン EKS アマゾン EC2 ノードに アマゾン EKS クラスターに接続するためのアクセス権限を付与します。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2– インスタンスボリュームとネットワーク情報を読み取ります。これはKubernetes ノードが アマゾン EKS クラスターに参加するのに必要な アマゾン EC2 リソースに関する情報を記述できるようにするために必要です。 -
eks– オプションで、ノードのブートストラップの一部としてクラスターを記述します。 -
eks-auth:AssumeRoleForPodIdentity– ノード上の EKS ワークロードの認証情報を取得できるようにします。これはEKS Pod Identity が正しく機能するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSWorkerNodePolicy Policy」を参照してください。
AWS マネージドポリシー: アマゾンEKSWorkerNodeMinimalPolicy
IAM エンティティに アマゾンEKSWorkerNodeMinimalPolicy をアタッチできます。このポリシーを、アマゾン EKS がユーザーに代わってアクションを実行することを許可する アマゾン EC2 ノードを作成するときに指定するノード IAM 役割にアタッチすることができます。
このポリシーはアマゾン EKS アマゾン EC2 ノードに アマゾン EKS クラスターに接続するためのアクセス権限を付与します。このポリシーのアクセス許可はアマゾンEKSWorkerNodePolicy に比べて少なくなります。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
eks-auth:AssumeRoleForPodIdentity– ノード上の EKS ワークロードの認証情報を取得できるようにします。これはEKS Pod Identity が正しく機能するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSWorkerNodePolicy Policy」を参照してください。
AWS 管理ポリシー: AWSServiceRoleForAmazonEKSNodegroup
IAM エンティティに AWSServiceRoleForAmazonEKSNodegroup をアタッチすることはできません。このポリシーはユーザーに代わって アマゾン EKS がアクションを実行することを許可する、サービスにリンクされた役割にアタッチされます。詳細については「アマゾン EKS でのサービスにリンクされたロールのアクセス許可」を参照してください。
このポリシーはAWSServiceRoleForAmazonEKSNodegroup 役割権限を付与し、アカウント内の アマゾン EC2 ノードグループを作成および管理できるようにします。
許可の詳細
このポリシーにはアマゾン EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2– セキュリティグループ、タグ、キャパシティ予約、および起動テンプレートを操作します。これはアマゾン EKS マネージド型ノードグループがリモートアクセス設定を有効にし、マネージド型ノードグループで使用できるキャパシティ予約を記述するために必要です。さらに、アマゾン EKS マネージド型ノードグループはユーザーに代わって起動テンプレートを作成します。これは各マネージド型ノードグループをバックアップする アマゾン EC2 自動スケーリング グループを設定するためです。 -
iam– サービスにリンクされた役割を作成し、役割を渡します。これはアマゾン EKS マネージド型ノードグループが、マネージドノードグループの作成時に渡される役割のインスタンスプロファイルを管理するために必要です。このインスタンスプロファイルはマネージド型ノードグループの一部として起動される アマゾン EC2 インスタンスによって使用されます。アマゾン EKS はアマゾン EC2 自動スケーリング グループなどの他のサービスに対してサービスリンクされた役割を作成する必要があります。これらの権限はマネージド型ノードグループの作成に使用されます。 -
autoscaling– セキュリティの 自動スケーリング グループを使用します。これはアマゾン EKS マネージド型ノードグループが、各マネージドノードグループをバックアップする アマゾン EC2 自動スケーリング グループを管理するために必要です。また、ノードグループの更新中にノードが終了またはリサイクルされたときに Pods を強制撤去させるなどの機能をサポートするためにも使用されます。
JSON ポリシードキュメントの最新バージョンを確認するには「AWS マネージドポリシーリファレンスガイド」の「AWSServiceRoleForAmazonEKSNodegroup」を参照してください。
AWS 管理ポリシー: アマゾンEBSCSIドライバーポリシー
AmazonEBSCSIDriverPolicy ポリシーはアマゾン EBS コンテナ・ストレージ・インターフェース (CSI) ドライバーが、ユーザーに代わってボリュームを作成、変更、アタッチ、デタッチ、削除できるようにします。これには既存のボリュームのタグの変更や、EBS ボリュームでの高速スナップショット復元 (FSR) の有効化が含まれます。また、EBS CSI ドライバーに、スナップショットを作成、復元、削除し、インスタンス、ボリューム、スナップショットを一覧表示する権限も付与します。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEBSCSIDriverサービスRolePolicy」を参照してください。
AWS マネージドポリシー: アマゾンEFSCSIドライバーポリシー
AmazonEFSCSIDriverPolicy ポリシーではアマゾン EFS コンテナストレージインターフェイス (CSI) がユーザーに代わってアクセスポイントを作成および削除できるようにすることができます。また、アマゾン EFS CSI ドライバーに、アクセスポイント、ファイルシステム、マウントターゲット、アマゾン EC2 アベイラビリティゾーンを一覧表示するアクセス許可を付与することもできます。
JSON ポリシードキュメントの最新バージョンを確認するにはAWS マネージドポリシーリファレンスガイドの「アマゾンEFSCSIDriverサービスRolePolicy」を参照してください。
AWS マネージドポリシー: アマゾンEKSLocalOutpostClusterPolicy
このポリシーを IAM エンティティにアタッチできます。ローカルクラスターを作成する前に、このポリシーをクラスター役割にアタッチする必要があります。アマゾン EKS によって管理される Kubernetes クラスターはお客様に代わって他の AWS サービスへの呼び出しを行います。これにより、サービスで使用するリソースを管理します。
AmazonEKSLocalOutpostClusterPolicy には以下の権限が含まれています。
-
ec2読み取りアクション – コント役割プレーンインスタンスがアベイラビリティーゾーン、ルートテーブル、インスタンス、ネットワークインターフェイスのプロパティを記述できるようにします。アマゾン EC2 インスタンスがコント役割プレーンインスタンスとして正常にクラスターに参加するために必要なアクセス許可です。 -
ssm- アマゾン EC2 システム・マネージャー がコント役割プレーンインスタンスに接続できるようにします。これはアカウントのローカルクラスターと通信して管理するために、アマゾン EKS によって使用されます。 -
logs- インスタンスが アマゾン CloudWatch にログをプッシュできるようにします。 -
secretsmanager- インスタンスがコント役割プレーンインスタンスのブートストラップデータを AWS 秘密マネジャー から安全に取得および削除できるようにします。 -
ecr- コント役割プレーンインスタンス上で動作している Pods とコンテナが、アマゾン エラスティック・コンテナ・レジストリ に格納されているコンテナイメージをプルできるようにします。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSLocalOutPostClusterPolicy」を参照してください。
AWS マネージドポリシー: アマゾンEKSLocalOutpostサービスRolePolicy
このポリシーを IAM エンティティにアタッチすることはできません。iam:CreateServiceLinkedRole 権限のある IAM プリンシパルを使用してクラスターを作成する場合、アマゾン EKS はAWSサービスRoleforアマゾンEKSLocalOutpost のサービスにリンクされた役割を自動的に作成し、このポリシーをアタッチします。このポリシーはサービスにリンクされた役割はローカルクラスターの代わりに AWS サービスを呼び出すことを許可します。
AmazonEKSLocalOutpostServiceRolePolicy には以下の権限が含まれています。
-
ec2- アマゾン EKS がセキュリティ、ネットワーク、その他のリソースと連携して、アカウント内のコント役割プレーンインスタンスを正常に起動および管理できるようにします。 -
ssm- アマゾン EC2 システム・マネージャー がコント役割プレーンインスタンスに接続できるようにします。これはアカウントのローカルクラスターと通信して管理するために、アマゾン EKS によって使用されます。 -
iam- アマゾン EKS がコント役割プレーンインスタンスに関連付けられたインスタンスプロファイルを管理できるようにします。 -
secretsmanager- アマゾン EKS がコント役割プレーンインスタンスのブートストラップデータを AWS 秘密マネジャー に格納できるようにします。これにより、インスタンスのブートストラップ中に安全に参照できるようになります。 -
outposts- アマゾン EKS がお客様のアカウントから Outpost 情報を取得して、Outpost でローカルクラスターを正常に起動できるようにします。
JSON ポリシードキュメントの最新バージョンを確認するには『AWS管理ポリシーリファレンスガイド』の「アマゾンEKSLocalOutPostサービスRolePolicy」を参照してください。
アマゾン EKS による AWS 管理ポリシーの更新
アマゾン EKS の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するにはアマゾン EKS ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
アマゾンEBSCSIドライバーポリシー にアクセス許可を追加しました。 |
EBS CSI ドライバーがすべてのスナップショットを復元することを許可する新しいステートメントを追加しました。これは既存のポリシーでは以前は許可されていましたが、 EBS CSI ドライバーが既存のボリュームのタグを変更する機能を追加しました。EBS CSI ドライバーはKubernetes `VolumeAttributesClass`es のパラメータを介して既存のボリュームのタグを変更できます。 EBS ボリューム上で高速スナップショット復元 (FSR) を有効にするために EBS CSI ドライバーの機能を追加しました。EBS CSI ドライバーはKubernetes のStorageClass」のパラメータを介して、新しいボリュームで FSR を有効にできます。 |
2025年1月13日 |
|
許可を AWS マネージドポリシー: アマゾンEKSLoadBalancingPolicy に追加しました。 |
|
2024 年 12 月 26 日 |
|
許可を AWS 管理ポリシー: AWSServiceRoleForAmazonEKSNodegroup に追加しました。 |
|
2024 年 11 月 22 日 |
|
アクセス許可を AWS マネージドポリシー: アマゾンEKSLocalOutpostClusterPolicy に追加しました。 |
各ノードが存在するアベイラビリティーゾーンを、クラスターコント役割プレーンの AWS クラウド コントローラー マネージャー が識別できるように、 |
2024 年 11 月 21 日 |
|
許可を AWS 管理ポリシー: AWSServiceRoleForAmazonEKSNodegroup に追加しました。 |
アマゾン EKS マネージドノードグループによって作成されたインスタンスのために |
2024 年 11 月 20 日 |
|
許可を AWS 管理ポリシー: アマゾンEKSサービスRolePolicy に追加しました。 |
EKS が AWS マネージドポリシー |
2024 年 11 月 16 日 |
|
AWS マネージドポリシー: アマゾンEKSComputePolicy について説明しました。 |
EKS が AWS マネージドポリシー |
2024 年 11 月 7 日 |
|
AWS マネージドポリシー: アマゾンEKSComputePolicy について説明しました。 |
AWS は |
2024 年 11 月 1 日 |
|
アクセス許可を |
アマゾン EKS がトポロジ情報をラベルとしてノードにアタッチできるようにする |
2024 年 11 月 1 日 |
|
AWS マネージドポリシー: アマゾンEKSBlockStoragePolicy について説明しました。 |
AWS は |
2024 年 10 月 30 日 |
|
AWS マネージドポリシー: アマゾンEKSLoadBalancingPolicy について説明しました。 |
AWS は |
2024 年 10 月 30 日 |
|
アマゾンEKSサービスRolePolicy に許可を追加しました。 |
アマゾン EKS が アマゾン CloudWatch にメトリクスを発行できるようにする |
2024 年 10 月 29 日 |
|
AWS 管理ポリシー: アマゾンEKSNetworkingPolicy について説明しました。 |
AWS は |
2024 年 10 月 28 日 |
|
|
EKS がセキュリティグループ情報を読み取り、関連するタグを更新できるように、 |
2024 年 10 月 10 日 |
|
アマゾンEKSWorkerNodeMinimalPolicy を導入しました。 |
AWS は |
2024 年 10 月 3 日 |
|
AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。 |
アマゾン EKS が管理する 自動スケーリング グループで アマゾン EKS が |
2024 年 8 月 21 日 |
|
AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。 |
アマゾン EKS がユーザーのアカウントでキャパシティ予約を記述できるようにする |
2024 年 6 月 27 日 |
|
アマゾンEKS _CNI_Policy – 既存のポリシーへの更新 |
アマゾン EKS はAmazon VPC CNI plugin for Kubernetes が アマゾン VPC サブネット内の空き IP アドレスの量を確認できるようにする新しい |
2024 年 3 月 4 日 |
|
アマゾンEKSWorkerNodePolicy – 既存のポリシーへの更新 |
アマゾン EKS は EKS ポッド・アイデンティティー を許可する新しいアクセス権限を追加しました。アマゾン EKS ポッド・アイデンティティー エージェントはノード役割を使用します。 |
2023 年 11 月 26 日 |
|
アマゾンEFSCSIドライバーポリシー を導入しました。 |
AWS は |
2023 年 7 月 26 日 |
|
アマゾンEKSClusterPolicy に権限を追加しました。 |
ロードバランサーを作成しながら、サブネットの自動検出中に アマゾン EKS が AZ の詳細を取得できるようにする |
2023 年 2 月 7 日 |
|
アマゾンEBSCSIドライバーポリシー のポリシー条件が更新されました。 |
|
2022 年 11 月 17 日 |
|
アマゾンEKSLocalOutpostサービスRolePolicy にアクセス許可を追加しました。 |
前提条件の検証とマネージドライフサイクルの管理が向上するように、 |
2022 年 10 月 24 日 |
|
アマゾンEKSLocalOutpostClusterPolicy の アマゾン エラスティック・コンテナ・レジストリ のアクセス権限を更新します。 |
|
2022 年 10 月 20 日 |
|
アマゾンEKSLocalOutpostClusterPolicy にアクセス許可を追加しました。 |
クラスターコント役割プレーンインスタンスがいくつかの |
2022 年 8 月 31 日 |
|
アマゾンEKSLocalOutpostClusterPolicy を導入しました。 |
AWS は |
2022 年 8 月 24 日 |
|
アマゾンEKSLocalOutpostサービスRolePolicy を導入しました。 |
AWS は |
2022 年 8 月 23 日 |
|
アマゾンEBSCSIドライバーポリシー を導入しました。 |
AWS は |
2022 年 4 月 4 日 |
|
アマゾンEKSWorkerNodePolicy に権限を追加しました。 |
インスタンスレベルのプロパティを自動検出できる アマゾン EKS に最適化された AMI を有効化する |
2022 年 3 月 21 日 |
|
AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。 |
アマゾン EKS がメトリクスの収集を有効にすることを許可する |
2021 年 12 月 13 日 |
|
アマゾンEKSClusterPolicy に権限を追加しました。 |
|
2021 年 6 月 17 日 |
|
アマゾン EKS が変更の追跡を開始しました。 |
アマゾン EKS が AWS 管理ポリシーの変更の追跡を開始しました。 |
2021 年 6 月 17 日 |
