Amazon Elastic Kubernetes Service のアクション、リソース、および条件キー - サービス認証リファレンス

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

Amazon Elastic Kubernetes Service のアクション、リソース、および条件キー

Amazon Elastic Kubernetes Service (サービスプレフィックス: eks) では、IAM アクセス権限ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon Elastic Kubernetes Service で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AccessKubernetesApi [アクセス権限のみ] AWS EKS コンソール経由で Kubernetes オブジェクトを表示するアクセス権限を付与します Read

cluster*

AssociateEncryptionConfig クラスターに暗号化設定を関連付けるアクセス権限を付与します 書き込み

cluster*

AssociateIdentityProviderConfig クラスターに ID プロバイダー設定を関連付けるアクセス権限を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

eks:clientId

eks:issuerUrl

CreateAddon Amazon EKS アドオンを作成するアクセス権限を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateCluster Amazon EKS クラスターを作成するアクセス権限を付与します 書き込み

aws:RequestTag/${TagKey}

aws:TagKeys

CreateFargateProfile AWS Fargate プロファイルを作成するアクセス権限を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

CreateNodegroup Amazon EKS ノードグループを作成するアクセス権限を付与します 書き込み

cluster*

aws:RequestTag/${TagKey}

aws:TagKeys

DeleteAddon Amazon EKS アドオンを削除するアクセス権限を付与します 書き込み

addon*

DeleteCluster Amazon EKS クラスターを削除するアクセス権限を付与します 書き込み

cluster*

DeleteFargateProfile AWS Fargate プロファイルを削除するアクセス権限を付与します 書き込み

fargateprofile*

DeleteNodegroup Amazon EKS ノードグループを削除するアクセス権限を付与します 書き込み

nodegroup*

DescribeAddon Amazon EKS アドオンに関する説明情報を取得するアクセス権限を付与します Read

addon*

DescribeAddonVersions Amazon EKS アドオンがサポートしているアドオンに関する説明的なバージョン情報を取得するアクセス権限を付与します Read
DescribeCluster Amazon EKS クラスターに関する説明情報を取得するアクセス権限を付与します Read

cluster*

DescribeFargateProfile クラスターに関連付けられている AWS Fargate プロファイルに関する詳細情報を取得するアクセス権限を付与します Read

fargateprofile*

DescribeIdentityProviderConfig クラスターに関連付けられた Idp 設定に関する説明情報を取得するアクセス権限を付与します Read

identityproviderconfig*

DescribeNodegroup Amazon EKS ノードグループに関する説明情報を取得するアクセス権限を付与します Read

nodegroup*

DescribeUpdate (指定されたリージョンまたはデフォルトリージョンにある) 特定の Amazon EKS クラスター/ノードグループ/アドオンの特定の更新を取得するアクセス権限を付与します Read

cluster*

addon

nodegroup

DisassociateIdentityProviderConfig 関連付けられた Idp 設定を削除するアクセス権限を付与します 書き込み

identityproviderconfig*

ListAddons 特定のクラスターの (指定されたリージョンまたはデフォルトリージョンにある) AWS アカウントの Amazon EKS アドオンを一覧表示するアクセス権限を付与します リスト

cluster*

ListClusters (指定されたリージョンまたはデフォルトリージョンにある) AWS アカウントの Amazon EKS クラスターを一覧表示するアクセス権限を付与します リスト
ListFargateProfiles 特定のクラスターに関連付けられている (指定されたリージョンまたはデフォルトリージョンにある) AWS アカウントの AWS Fargate プロファイルを一覧表示するアクセス権限を付与します リスト

cluster*

ListIdentityProviderConfigs 特定のクラスターに関連付けられた (指定されたリージョンまたはデフォルトリージョンにある) AWS アカウントの Idp 設定を一覧表示するアクセス権限を付与します リスト

cluster*

ListNodegroups 特定のクラスターにアタッチされた (指定されたリージョンまたはデフォルトリージョンにある) AWS アカウントの Amazon EKS ノードグループを一覧表示するアクセス権限を付与します リスト

cluster*

ListTagsForResource 指定されたリソースのタグを一覧表示するアクセス許可を付与します Read

addon

cluster

fargateprofile

identityproviderconfig

nodegroup

ListUpdates (指定されたリージョンまたはデフォルトリージョンにある) 特定の Amazon EKS クラスター/ノードグループの更新を一覧表示するアクセス権限を付与します リスト

cluster*

addon

nodegroup

TagResource 指定されたリソースにタグを付ける権限を付与します タグ付け

addon

cluster

fargateprofile

identityproviderconfig

nodegroup

aws:RequestTag/${TagKey}

aws:TagKeys

UntagResource 指定されたリソースのタグを解除する権限を付与します タグ付け

addon

cluster

fargateprofile

identityproviderconfig

nodegroup

aws:TagKeys

UpdateAddon Amazon EKS アドオン設定 (VPC CNI バージョンなど) を更新するアクセス権限を付与します 書き込み

addon*

UpdateClusterConfig Amazon EKS クラスター設定 (API サーバーエンドポイントアクセスなど) を更新するアクセス権限を付与します 書き込み

cluster*

UpdateClusterVersion Amazon EKS クラスターの Kubernetes バージョンを更新するアクセス権限を付与します 書き込み

cluster*

UpdateNodegroupConfig Amazon EKS ノードグループ設定を更新するアクセス権限を付与します (例: 最小/最大/希望する容量またはラベル) 書き込み

nodegroup*

UpdateNodegroupVersion Amazon EKS ノードグループの Kubernetes バージョンを更新するアクセス権限を付与します 書き込み

nodegroup*

Amazon Elastic Kubernetes Service で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。[Actions table] (アクションテーブル) の各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
cluster arn:${Partition}:eks:${Region}:${Account}:cluster/${ClusterName}

aws:ResourceTag/${TagKey}

nodegroup arn:${Partition}:eks:${Region}:${Account}:nodegroup/${ClusterName}/${NodegroupName}/${UUID}

aws:ResourceTag/${TagKey}

addon arn:${Partition}:eks:${Region}:${Account}:addon/${ClusterName}/${AddonName}/${UUID}

aws:ResourceTag/${TagKey}

fargateprofile arn:${Partition}:eks:${Region}:${Account}:fargateprofile/${ClusterName}/${FargateProfileName}/${UUID}

aws:ResourceTag/${TagKey}

identityproviderconfig arn:${Partition}:eks:${Region}:${Account}:identityproviderconfig/${ClusterName}/${IdentityProviderType}/${IdentityProviderConfigName}/${UUID}

aws:ResourceTag/${TagKey}

Amazon Elastic Kubernetes Service の条件キー

Amazon Elastic Kubernetes Service は、Condition ポリシーの IAM 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キーを参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} ユーザーが EKS サービスに対して行うリクエストに含まれるキーによってアクセスがフィルタリングされます 文字列
aws:ResourceTag/${TagKey} タグキーと値のペアでアクセスをフィルタリングします 文字列
aws:TagKeys ユーザーが EKS サービスに対して行うリクエストに含まれるすべてのタグキー名のリストでアクセスをフィルタリングします 文字列
eks:clientId ユーザーが EKS サービスに対して行う associateIdentityProviderConfig リクエストに存在する clientId でアクセスをフィルタリングします 文字列
eks:issuerUrl ユーザーが EKS サービスに対して行う associateIdentityProviderConfig リクエストに存在する issuerUrl でアクセスをフィルタリングします 文字列