Outpost で Amazon EKS ローカルクラスターのロールの使用 - Amazon EKS
Amazon EKS でのサービスにリンクされたロールのアクセス許可Amazon EKS でのサービスにリンクされたロールの作成Amazon EKS でのサービスにリンクされたロールの編集Amazon EKS でのサービスにリンクされたロールの削除Amazon EKS のサービスにリンクされたロールがサポートされるリージョン

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? このページの下部までスクロールし、[GitHub でこのページの編集] を選択します。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

Outpost で Amazon EKS ローカルクラスターのロールの使用

Amazon Elastic Kubernetes Service は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon EKS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon EKS で事前定義されています。このロールには、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EKS の設定が簡単になります。サービスにリンクされたロールのアクセス許可は、Amazon EKS により定義されます。特に指定されている場合を除き、Amazon EKS のみがそのロールを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへのアクセス許可を不用意に削除することが防止され、Amazon EKS リソースが保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM と連携する AWS サービス」を参照し、「サービスにリンクされたロール」列に「はい」があるサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon EKS でのサービスにリンクされたロールのアクセス許可

Amazon EKS では、AWSServiceRoleForAmazonEKSLocalOutpost という名前のサービスにリンクされたロールを使用します。このロールにより、Amazon EKS はアカウント内のローカルクラスターを管理できるようになります。アタッチされたポリシーにより、ロールはネットワークインターフェイス、セキュリティグループ、ログ、Amazon EC2 インスタンスのリソースを管理できるようになります。

注記

AWSServiceRoleForAmazonEKSLocalOutpost サービスにリンクされたロールは、クラスターの作成に必要なロールとは異なります。詳細については、「Amazon EKS クラスター の IAM ロール」を参照してください。

AWSServiceRoleForAmazonEKSLocalOutpost サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • outposts.eks-local.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon EKS に許可します。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon EKS でのサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API でクラスターを作成すると、Amazon EKS によってサービスリンクロールが作成されます。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。サービスにリンクされたロールは、クラスターの作成時に Amazon EKS で自動的に再作成されます。

Amazon EKS でのサービスにリンクされたロールの編集

Amazon EKS では、AWSServiceRoleForAmazonEKSLocalOutpost のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Amazon EKS でのサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールをクリーンアップする必要があります。

サービスリンクロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。

注記

リソースの削除を試みた際に、対応するロールが Amazon EKS サービスで使用されている場合、削除が失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForAmazonEKSLocalOutpost ロールで使用されている Amazon EKS リソースを削除するには

  1. Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。

  2. 左のナビゲーションペインで Amazon EKS [Clusters] (クラスター) を選択します。

  3. クラスターにノードグループまたは Fargate プロファイルがある場合は、クラスターを削除する前にそれらを削除する必要があります。詳細については、マネージド型ノードグループの削除およびFargate プロファイルの削除を参照してください。

  4. [Clusters (クラスター)] ページで、削除するクラスターを選択し、[Delete (削除)] を選択します。

  5. 削除確認ウィンドウにクラスター名を入力し、[Delete (削除)] を選択します。

  6. この手順をアカウント内の他のすべてのクラスターに対して繰り返します。すべての削除操作が完了するまで待ちます。

サービスにリンクされたロールを手動で削除する

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonEKSLocalOutpost サービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Amazon EKS のサービスにリンクされたロールがサポートされるリージョン

Amazon EKS では、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされます。詳細については、「Amazon EKS endpoints and quotas」(Amazon EKS エンドポイントとクォータ) を参照してください。