ロールを使用して Kubernetes クラスターを Amazon EKS に接続する - Amazon EKS
Amazon EKS でのサービスにリンクされたロールのアクセス許可Amazon EKS でのサービスにリンクされたロールの作成Amazon EKS でのサービスにリンクされたロールの編集Amazon EKS でのサービスにリンクされたロールの削除

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

ロールを使用して Kubernetes クラスターを Amazon EKS に接続する

Amazon EKS は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用しています。サービスにリンクされたロールは、Amazon EKS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon EKS で事前定義されています。このロールには、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EKS の設定が簡単になります。サービスにリンクされたロールのアクセス許可は、Amazon EKS により定義されます。特に指定されている場合を除き、Amazon EKS のみがそのロールを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへのアクセス許可を不用意に削除することが防止され、Amazon EKS リソースが保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM と連携する AWS サービス」を参照し、「サービスにリンクされたロール」列に「はい」があるサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon EKS でのサービスにリンクされたロールのアクセス許可

Amazon EKS では、AWSServiceRoleForAmazonEKSConnector という名前のサービスにリンクされたロールを使用します。- このロールにより、Amazon EKS は Kubernetes クラスターに接続できます。添付されたポリシーにより、ロールは、登録された Kubernetes クラスターに接続するために必要なリソースを管理できます。

AWSServiceRoleForAmazonEKSConnector サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • eks-connector.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon EKS に許可します。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon EKS でのサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成してクラスターを接続する必要はありません。AWS Management Console、AWS CLI、eksctl または AWS API でクラスターを接続すると、Amazon EKS によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。サービスにリンクされたロールは、クラスターの接続時に Amazon EKS で自動的に再作成されます。

Amazon EKS でのサービスにリンクされたロールの編集

Amazon EKS では、AWSServiceRoleForAmazonEKSConnector のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Amazon EKS でのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールをクリーンアップする必要があります。

サービスリンクロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。

注記

リソースの削除を試みた際に、対応するロールが Amazon EKS サービスで使用されている場合、削除が失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForAmazonEKSConnector ロールで使用されている Amazon EKS リソースを削除するには

  1. Amazon EKS コンソール https://console.aws.amazon.com/eks/home#/clusters を開きます。

  2. 左のナビゲーションペインで [Clusters] (クラスター) を選択します。

  3. [Clusters] (クラスター) ページで、クラスターを選択します。

  4. 登録解除タブをクリックし、Ok タブを選択します。

サービスリンクロールの手動による削除

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonEKSConnector のサービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。