Amazon EKS Fargate プロファイルのロールの使用 - Amazon EKS
Amazon EKS でのサービスにリンクされたロールのアクセス許可Amazon EKS でのサービスにリンクされたロールの作成Amazon EKS でのサービスにリンクされたロールの編集Amazon EKS でのサービスにリンクされたロールの削除Amazon EKS のサービスにリンクされたロールがサポートされるリージョン

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

Amazon EKS Fargate プロファイルのロールの使用

Amazon EKS は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用しています。サービスにリンクされたロールは、Amazon EKS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon EKS で事前定義されています。このロールには、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EKS の設定が簡単になります。サービスにリンクされたロールのアクセス許可は、Amazon EKS により定義されます。特に指定されている場合を除き、Amazon EKS のみがそのロールを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへのアクセス許可を不用意に削除することが防止され、Amazon EKS リソースが保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM と連携する AWS サービス」を参照し、「サービスにリンクされたロール」列に「はい」があるサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon EKS でのサービスにリンクされたロールのアクセス許可

Amazon EKS では、AWSServiceRoleForAmazonEKSForFargate という名前のサービスにリンクされたロールを使用します。このロールにより、Amazon EKS Fargate は Fargate Pods に必要な VPC ネットワーキングを設定できるようになります。アタッチされたポリシーにより、ロールは Elastic Network Interface の作成と削除、Elastic Network Interface とリソースの記述ができるようになります。

AWSServiceRoleForAmazonEKSForFargate サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • eks-fargate.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon EKS に許可します。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon EKS でのサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API で Fargate プロファイルを作成すると、Amazon EKS がサービスにリンクされたロールを作成します。

重要

このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。2019 年 12 月 13 日より前に Amazon EKS サービスを使用している場合、サービスにリンクされたロールのサポートが開始された時点で、AWSServiceRoleForAmazonEKSForFargate ロールは Amazon EKS によりアカウントに作成されています。詳細については、「IAM アカウントに表示される新しいロール」を参照してください。

Amazon EKS でのサービスにリンクされたロールの作成 (AWS API)

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API で Fargate プロファイルを作成すると、Amazon EKS がサービスにリンクされたロールを作成します。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。別のマネージド型ノードグループを作成すると、Amazon EKS によってサービスリンクロールが再度作成されます。

Amazon EKS でのサービスにリンクされたロールの編集

Amazon EKS では、AWSServiceRoleForAmazonEKSForFargate のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Amazon EKS でのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールをクリーンアップする必要があります。

サービスリンクロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。

注記

リソースの削除を試みた際に、対応するロールが Amazon EKS サービスで使用されている場合、削除が失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForAmazonEKSForFargate ロールで使用されている Amazon EKS リソースを削除するには

  1. Amazon EKS コンソール https://console.aws.amazon.com/eks/home#/clusters を開きます。

  2. 左のナビゲーションペインで [Clusters] (クラスター) を選択します。

  3. [Clusters] (クラスター) ページで、クラスターを選択します。

  4. [Compute] (コンピューティング) タブを選択します。

  5. [Fargate profiles] (Fargateプロファイル) セクションに Fargate プロファイルがある場合、それぞれを個別に選択し、[Delete] (削除)を選択します。

  6. 削除確認ウィンドウにプロファイルの名前を入力し、[Delete (削除)] を選択します。

  7. クラスター内のその他の Fargate プロファイルと、アカウント内のその他のクラスターについて、この手順を繰り返します。

サービスにリンクされたロールを手動で削除する

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonEKSForFargate のサービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Amazon EKS のサービスにリンクされたロールがサポートされるリージョン

Amazon EKS では、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされます。詳細については、「Amazon EKS endpoints and quotas」(Amazon EKS エンドポイントとクォータ) を参照してください。