投稿日: Sep 4, 2019
Amazon EKS で Kubernetes サービスアカウントに IAM アクセス許可を割り当てることができるようになりました。これにより、複数の同じ場所に配置されたサービスでクラスターを実行するときに、きめ細かなポッドレベルのアクセス制御が可能になります。
これまでは、AWS で Kubernetes クラスターを実行する場合、IAM ロールはクラスターにある EC2 ノードにのみ関連付けることができ、ノードで実行されたすべてのポッドは同じ IAM ロールを継承していました。そのため、同じノードセットで異なるアクセスコントロール要件を持つポッドを実行することが容易ではありませんでした。
そこで、Amazon EKS で、Kubernetes クラスターで実行されている個別のポッドが使用できるサービスアカウントに一意の IAM ロールを割り当てる方法がサポートされました。これにより、実行する個別のポッドのアクセス許可セットをきめ細かく制御できます。IAM ロールは、他のコンテナ化されたサービス、データベースやシークレットなどのクラスター外部の AWS リソース、または AWS 外で実行されているサードパーティーのサービスやアプリケーションへのアクセスを制御できます。複数の異なるサービスを同じノードセットで安全に実行できるため、クラスターのコストと可用性の最適化が容易になります。
EKS は現在、Kubernetes バージョン 1.13 以降を実行する新しいクラスターのサービスアカウントへの IAM ロールの割り当てをサポートしています。