Amazon Elastic Kubernetes Service に関する AWS 管理ポリシー
AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースで権限を提供できるように設計されているため、ユーザー、グループ、ロールへの権限の割り当てを開始できます。
AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権の権限を付与しない場合があることにご注意ください。AWS のすべてのお客様が使用できるようになるのを避けるためです。ユースケース別にカスタマーマネージドポリシーを定義することで、アクセス許可を絞り込むことをお勧めします。
AWS マネージドポリシーで定義したアクセス権限は変更できません。AWS が AWS マネージドポリシーに定義されているアクセス許可を更新すると、更新はポリシーが添付されているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービスを起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。
詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。
AWS 管理ポリシー: AmazonEKS_CNI_Policy
AmazonEKS_CNI_Policy ポリシーを IAM エンティティにアタッチできます。Amazon EC2 ノードグループを作成する前に、このポリシーをノード IAM ロール、または Amazon VPC CNI plugin for Kubernetes で特に使用する IAM ロールにアタッチする必要があります。これは、ユーザーに代わってアクションを実行できるようにするためです。プラグインでのみ使用されるロールにポリシーをアタッチすることをお勧めします。詳細については、Amazon VPC CNI plugin for Kubernetes Amazon EKS アドオンの使用およびサービスアカウントの IAM ロールを使用する Amazon VPC CNI plugin for Kubernetes の設定を参照してください。
許可の詳細
このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2:*NetworkInterfaceおよびec2:*PrivateIpAddresses- Amazon VPC CNI プラグインが Pods の ElasticNetwork Interface や IP アドレスのプロビジョニングなどのアクションを実行し、Amazon EKS で実行されるアプリケーションにネットワークを提供できるようにします。 -
ec2読み取りアクション - Amazon VPC CNI プラグインがインスタンスやサブネットを記述して、Amazon VPC サブネット内の空き IP アドレスの量を確認するなどのアクションを実行できるようにします。VPC CNI は各サブネットの空き IP アドレスを使用して、Elastic Network Interface の作成時に使用する空き IP アドレスが最も多いサブネットを選択できます。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKS_CNI_Policy I_Policy」を参照してください。
AWS 管理ポリシー: AmazonEKSClusterPolicy
IAM エンティティに AmazonEKSClusterPolicy をアタッチできます。クラスターを作成する前に、このポリシーが添付されたクラスター IAM ロールを用意する必要があります。Amazon EKS によって管理される Kubernetes クラスターは、お客様に代わって他の AWS サービスへの呼び出しを行います。これにより、サービスで使用するリソースを管理します。
このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
autoscaling– Auto Scaling グループの設定を読み取り、更新します。これらの権限は Amazon EKS では使用されませんが、下位互換性のためにポリシーに残ります。 -
ec2– Amazon EC2 ノードに関連付けられているボリュームとネットワークリソースを操作します。これは、Kubernetes コントロールプレーンがインスタンスをクラスターに結合し、Kubernetes 永続ボリュームによってリクエストされる Amazon EBS ボリュームを動的にプロビジョニングおよび管理できるようにするために必要です。 -
elasticloadbalancing– Elastic Load Balancer を操作し、ノードをターゲットとして追加します。これは、Kubernetes コントロールプレーンが Kubernetes サービスによってリクエストされる Elastic Load Balancer を動的にプロビジョニングできるようにするために必要です。 -
iam- サービスにリンクされたロールを作成します。これは、Kubernetes コントロールプレーンが Kubernetes サービスによってリクエストされる Elastic Load Balancer を動的にプロビジョニングできるようにするために必要です。 -
kms– AWS KMS からキーを読み込みます。これは、Kubernetes コントロールプレーンがetcdに保存される Kubernetes シークレットの シークレット暗号化を管理するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSClusterPolicy Policy」を参照してください。
AWS 管理ポリシー: AmazonEKSFargatePodExecutionRolePolicy
IAM エンティティに AmazonEKSFargatePodExecutionRolePolicy をアタッチできます。Fargate プロファイルを作成する前に、Fargate Pod 実行ロールを作成し、このポリシーをアタッチする必要があります。詳細については、Fargate Pod 実行ロールを作成するおよびAWS Fargate プロファイルを参照してください。
このポリシーはロールに対して、Fargate で Amazon EKS Pods を実行するために必要な他の AWS サービスリソースにアクセスするための権限を付与します。
許可の詳細
このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ecr– Fargate で実行中のポッドが、Amazon ECR に格納されているコンテナイメージを取得できるようにします。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSFargatePodExecutionRolePolicy Policy」を参照してください。
AWS 管理ポリシー: AmazonEKSForFargateServiceRolePolicy
IAM エンティティに AmazonEKSForFargateServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Amazon EKS がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「AWSServiceRoleforAmazonEKSForFargate」を参照してください。
このポリシーは、Fargate タスクを実行するために必要なアクセス権限を Amazon EKS に付与します。このポリシーは、Fargate ノードがある場合にのみ使用されます。
アクセス許可の詳細
このポリシーには、Amazon EKS が以下のタスクを完了できるようにする以下の権限が含まれています。
-
ec2– Elastic Network Interface を作成および削除し、Elastic Network Interface とリソースについて説明します。これは、Amazon EKS Fargate サービスが Fargate ポッドに必要な VPC ネットワーキングを設定できるようにするために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSForFargateServiceRolePolicy Policy」を参照してください。
AWS 管理ポリシー: AmazonEKSServicePolicy
IAM エンティティに AmazonEKSServicePolicy をアタッチできます。2020 年 4 月 16 日より前に作成されたクラスターでは、IAM ロールを作成し、このポリシーをアタッチする必要がありました。2020 年 4 月 16 日以降に作成されたクラスターでは、ロールを作成する必要はなく、このポリシーの割り当ても必要ありません。IAM プリンシパルを使用してクラスターを作成する場合、iam:CreateServiceLinkedRole 権限がある場合、AWS ServiceRoleforAmazonEKS のサービスにリンクされたロールが自動的に作成されます。サービスにリンクされたロールには AWS 管理ポリシー: AmazonEKSServiceRolePolicy がアタッチされています。
このポリシーにより、Amazon EKS は Amazon EKS クラスターを操作するために必要なリソースを作成および管理できるようになります。
アクセス許可の詳細
このポリシーには、Amazon EKS が以下のタスクを完了できるようにする以下の権限が含まれています。
-
eks- 更新を開始した後、クラスターの Kubernetes バージョンを更新します。この権限は Amazon EKS では使用されませんが、下位互換性のためにポリシーに残ります。 -
ec2– Elastic Network Interface およびその他のネットワークリソースとタグを操作します。これは、ノードと Kubernetes コントロールプレーン間の通信を容易にするネットワーキングを設定するために、Amazon EKS で必要です。 -
route53– VPC をホストゾーンに関連付けます。これは、Kubernetes クラスター API サーバーのプライベートエンドポイントネットワーキングを有効にするために、Amazon EKS で必要です。 -
logs– ログイベント これは、Amazon EKS が Kubernetes コントロールプレーンログを CloudWatch に送信できるようにするために必要です。 -
iam- サービスにリンクされたロールを作成します。これは、Amazon EKS がユーザーに代わって AWSServiceRoleForAmazonEKS のサービスにリンクされたロールを作成するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSServicePolicy olicy」を参照してください。
AWS 管理ポリシー: AmazonEKSServiceRolePolicy
IAM エンティティに AmazonEKSServiceRolePolicy をアタッチすることはできません。このポリシーは、ユーザーに代わって Amazon EKS がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon EKS でのサービスにリンクされたロールのアクセス許可」を参照してください。iam:CreateServiceLinkedRole 権限のある IAM プリンシパルを使用してクラスターを作成する場合、AWSServiceRoleforAmazonEKS のサービスにリンクされたロールが自動的に作成され、このポリシーがアタッチされます。
このポリシーにより、サービスにリンクされたロールはユーザーに代わって AWS サービスを呼び出します。
アクセス許可の詳細
このポリシーには、Amazon EKS が以下のタスクを完了できるようにする以下の権限が含まれています。
-
ec2– Elastic Network Interface と Amazon EC2 インスタンス、クラスターセキュリティグループ、およびクラスターの作成に必要な VPC を作成、記述します。 -
iam– IAM ロールにアタッチされているすべての管理ポリシーを一覧表示します。これは、Amazon EKS がクラスターの作成に必要なすべての管理ポリシーと権限を一覧表示および検証できるようにするために必要です。 -
VPC をホストゾーンに関連付ける - これは、Kubernetes クラスター API サーバーのプライベートエンドポイントネットワーキングを有効にするために、Amazon EKS で必要です。
-
ログイベント - これは、Amazon EKS が Kubernetes コントロールプレーンログを CloudWatch に送信できるようにするために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSServiceRolePolicy」を参照してください。
AWS 管理ポリシー: AmazonEKSVPCResourceController
AmazonEKSVPCResourceController ポリシーを IAM アイデンティティにアタッチできます。Pods のセキュリティグループ を使用している場合は、ユーザーに代わってアクションを実行させるために、このポリシーを Amazon EKS クラスター の IAM ロール にアタッチします。
このポリシーは、ノードの Elastic Network Interface と IP アドレスを管理するアクセス権限をクラスターロールに付与します。
許可の詳細
このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2- Elastic Network Interface と IP アドレスを管理し、Pod ポッドセキュリティグループと Windows ノードをサポートします。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSVPCResourceController」を参照してください。
AWS 管理ポリシー: AmazonEKSWorkerNodePolicy
AmazonEKSWorkerNodePolicy ポリシーを IAM エンティティにアタッチできます。このポリシーを、Amazon EKS がユーザーに代わってアクションを実行することを許可する Amazon EC2 ノードを作成するときに指定するノード IAM ロールにアタッチしなければなりません。eksctl を使用してノードグループを作成すると、ノード IAM ロールが作成され、このポリシーをロールに自動的にアタッチします。
このポリシーは、Amazon EKS Amazon EC2 ノードに Amazon EKS クラスターに接続するためのアクセス権限を付与します。
許可の詳細
このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2– インスタンスボリュームとネットワーク情報を読み取ります。これは、Kubernetes ノードが Amazon EKS クラスターに参加するのに必要な Amazon EC2 リソースに関する情報を記述できるようにするために必要です。 -
eks– オプションで、ノードのブートストラップの一部としてクラスターを記述します。 -
eks-auth:AssumeRoleForPodIdentity– ノード上の EKS ワークロードの認証情報を取得できるようにします。これは、EKS Pod Identity が正しく機能するために必要です。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSWorkerNodePolicy Policy」を参照してください。
AWS 管理ポリシー: AWSServiceRoleForAmazonEKSNodegroup
IAM エンティティに AWSServiceRoleForAmazonEKSNodegroup をアタッチすることはできません。このポリシーは、ユーザーに代わって Amazon EKS がアクションを実行することを許可する、サービスにリンクされたロールにアタッチされます。詳細については、「Amazon EKS でのサービスにリンクされたロールのアクセス許可」を参照してください。
このポリシーは、AWSServiceRoleForAmazonEKSNodegroup ロール権限を付与し、アカウント内の Amazon EC2 ノードグループを作成および管理できるようにします。
許可の詳細
このポリシーには、Amazon EKS に以下のタスクを完了させるための以下の権限が含まれています。
-
ec2– セキュリティグループ、タグ、および起動テンプレートを操作します。これは、Amazon EKS マネージド型ノードグループがリモートアクセス設定を有効にするために必要です。さらに、Amazon EKS マネージド型ノードグループは、ユーザーに代わって起動テンプレートを作成します。これは、各マネージド型ノードグループをバックアップする Amazon EC2 Auto Scaling グループを設定するためです。 -
iam– サービスにリンクされたロールを作成し、ロールを渡します。これは、Amazon EKS マネージド型ノードグループが、マネージドノードグループの作成時に渡されるロールのインスタンスプロファイルを管理するために必要です。このインスタンスプロファイルは、マネージド型ノードグループの一部として起動される Amazon EC2 インスタンスによって使用されます。Amazon EKS は、Amazon EC2 Auto Scaling グループなどの他のサービスに対してサービスリンクされたロールを作成する必要があります。これらの権限は、マネージド型ノードグループの作成に使用されます。 -
autoscaling– セキュリティの Auto Scaling グループを使用します。これは、Amazon EKS マネージド型ノードグループが、各マネージドノードグループをバックアップする Amazon EC2 Auto Scaling グループを管理するために必要です。また、ノードグループの更新中にノードが終了またはリサイクルされたときに Pods を強制撤去させるなどの機能をサポートするためにも使用されます。
JSON ポリシードキュメントの最新バージョンを確認するには、「AWS マネージドポリシーリファレンスガイド」の「AWSServiceRoleForAmazonEKSNodegroup」を参照してください。
AWS 管理ポリシー: AmazonEBSCSIDriverPolicy
AmazonEBSCSIDriverPolicy ポリシーは、Amazon EBS Container Storage Interface (CSI) ドライバーが、ユーザーに代わってボリュームを作成、変更、アタッチ、デタッチ、削除できるようにします。また、EBS CSI ドライバーに、スナップショットの作成と削除、インスタンス、ボリューム、およびスナップショットの一覧表示を行う権限も付与します。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEBSCSIDriverServiceRolePolicy」を参照してください。
AWS マネージドポリシー: AmazonEFSCSIDriverPolicy
AmazonEFSCSIDriverPolicy ポリシーでは、Amazon EFS コンテナストレージインターフェイス (CSI) がユーザーに代わってアクセスポイントを作成および削除できるようにすることができます。また、Amazon EFS CSI ドライバーに、アクセスポイント、ファイルシステム、マウントターゲット、Amazon EC2 アベイラビリティゾーンを一覧表示するアクセス許可を付与することもできます。
JSON ポリシードキュメントの最新バージョンを確認するには、AWS マネージドポリシーリファレンスガイドの「AmazonEFSCSIDriverServiceRolePolicy」を参照してください。
AWS マネージドポリシー: AmazonEKSLocalOutpostClusterPolicy
このポリシーを IAM エンティティにアタッチできます。ローカルクラスターを作成する前に、このポリシーをクラスターロールにアタッチする必要があります。Amazon EKS によって管理される Kubernetes クラスターは、お客様に代わって他の AWS サービスへの呼び出しを行います。これにより、サービスで使用するリソースを管理します。
AmazonEKSLocalOutpostClusterPolicy には以下の権限が含まれています。
-
ec2- Amazon EC2 インスタンスがコントロールプレーンインスタンスとして正常にクラスターに参加するために必要なアクセス許可です。 -
ssm- Amazon EC2 Systems Manager がコントロールプレーンインスタンスに接続できるようにします。これは、アカウントのローカルクラスターと通信して管理するために、Amazon EKS によって使用されます。 -
logs- インスタンスが Amazon CloudWatch にログをプッシュできるようにします。 -
secretsmanager- インスタンスがコントロールプレーンインスタンスのブートストラップデータを AWS Secrets Manager から安全に取得および削除できるようにします。 -
ecr- コントロールプレーンインスタンス上で動作している Pods とコンテナが、Amazon Elastic Container Registry に格納されているコンテナイメージをプルできるようにします。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSLocalOutPostClusterPolicy」を参照してください。
AWS マネージドポリシー: AmazonEKSLocalOutpostServiceRolePolicy
このポリシーを IAM エンティティにアタッチすることはできません。iam:CreateServiceLinkedRole 権限のある IAM プリンシパルを使用してクラスターを作成する場合、Amazon EKS は AWSServiceRoleforAmazonEKSLocalOutpost のサービスにリンクされたロールが自動的に作成され、このポリシーがアタッチされます。このポリシーは、サービスにリンクされたロールはローカルクラスターの代わりに AWS サービスを呼び出すことを許可します。
AmazonEKSLocalOutpostServiceRolePolicy には以下の権限が含まれています。
-
ec2- Amazon EKS がセキュリティ、ネットワーク、その他のリソースと連携して、アカウント内のコントロールプレーンインスタンスを正常に起動および管理できるようにします。 -
ssm- Amazon EC2 Systems Manager がコントロールプレーンインスタンスに接続できるようにします。これは、アカウントのローカルクラスターと通信して管理するために、Amazon EKS によって使用されます。 -
iam- Amazon EKS がコントロールプレーンインスタンスに関連付けられたインスタンスプロファイルを管理できるようにします。 -
secretsmanager- Amazon EKS がコントロールプレーンインスタンスのブートストラップデータを AWS Secrets Manager に格納できるようにします。これにより、インスタンスのブートストラップ中に安全に参照できるようになります。 -
outposts- Amazon EKS がお客様のアカウントから Outpost 情報を取得して、Outpost でローカルクラスターを正常に起動できるようにします。
JSON ポリシードキュメントの最新バージョンを確認するには、『AWS管理ポリシーリファレンスガイド』の「AmazonEKSLocalOutPostServiceRolePolicy」を参照してください。
Amazon EKS による AWS 管理ポリシーの更新
Amazon EKS の AWS 管理ポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するには、Amazon EKS ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
|---|---|---|
|
AmazonEKS _CNI_Policy – 既存のポリシーへの更新 |
Amazon EKS は、Amazon VPC CNI plugin for Kubernetes が Amazon VPC サブネット内の空き IP アドレスの量を確認できるようにする新しい VPC CNI は各サブネットの空き IP アドレスを使用して、Elastic Network Interface の作成時に使用する空き IP アドレスが最も多いサブネットを選択できます。 |
2024 年 3 月 4 日 |
|
AmazonEKSWorkerNodePolicy – 既存のポリシーへの更新 |
Amazon EKS は EKS Pod Identity を許可する新しいアクセス権限を追加しました。 Amazon EKS Pod Identity エージェントはノードロールを使用します。 |
2023 年 11 月 26 日 |
|
AmazonEFSCSIDriverPolicy を導入しました。 |
AWS は |
2023 年 7 月 26 日 |
|
AmazonEKSClusterPolicy に権限を追加しました。 |
ロードバランサーを作成しながら、サブネットの自動検出中に Amazon EKS が AZ の詳細を取得できるようにする |
2023 年 2 月 7 日 |
|
AmazonEBSCSIDriverPolicy のポリシー条件が更新されました。 |
|
2022 年 11 月 17 日 |
|
AmazonEKSLocalOutpostServiceRolePolicy にアクセス許可を追加しました。 |
前提条件の検証とマネージドライフサイクルの管理が向上するように、 |
2022 年 10 月 24 日 |
|
AmazonEKSLocalOutpostClusterPolicy の Amazon Elastic Container Registry のアクセス権限を更新します。 |
|
2022 年 10 月 20 日 |
|
AmazonEKSLocalOutpostClusterPolicy にアクセス許可を追加しました。 |
クラスターコントロールプレーンインスタンスがいくつかの |
2022 年 8 月 31 日 |
|
AmazonEKSLocalOutpostClusterPolicy を導入しました。 |
AWS は |
2022 年 8 月 24 日 |
|
AWS は |
2022 年 8 月 23 日 | |
|
AmazonEBSCSIDriverPolicy を導入しました。 |
AWS は |
2022 年 4 月 4 日 |
|
AmazonEKSWorkerNodePolicy に権限を追加しました。 |
インスタンスレベルのプロパティを自動検出できる Amazon EKS に最適化された AMI を有効化する |
2022 年 3 月 21 日 |
|
AWSServiceRoleForAmazonEKSNodegroup に権限を追加しました。 |
Amazon EKS がメトリクスの収集を有効にすることを許可する |
2021 年 12 月 13 日 |
|
AmazonEKSClusterPolicy に権限を追加しました。 |
|
2021 年 6 月 17 日 |
|
Amazon EKS が変更の追跡を開始しました。 |
Amazon EKS が AWS 管理ポリシーの変更の追跡を開始しました。 |
2021 年 6 月 17 日 |
