投稿日: Apr 16, 2020
Amazon Elastic Kubernetes Service (EKS) は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用して、クラスター管理アクセス許可を EKS に簡単に委任できるようになりました。
EKS サービスにリンクされたロールは Amazon EKS によって事前定義されており、EKS がクラスターを作成して管理するために必要なアクセス許可が含まれています。例には、ワーカーノードへの通信を容易にする Amazon Elastic Compute Cloud (Amazon EC2) クロスアカウント Elastic Network Interface (ENI) の作成が含まれます。サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がないため、Amazon EKS のセットアップが簡単になります。
通常の IAM ロールとは異なり、サービスにリンクされたロールが Amazon EKS クラスターで使用中の場合は削除できません。これにより、ユーザーに代わってクラスターを管理するために Amazon EKS に必要なアクセス許可を誤って取り消したことで発生する、サービスのダウンタイムまたはアップグレードの問題から保護されます。Amazon EKS がそのサービスにリンクされたロールに対して実行したアクションは、AWS CloudTrail に記録されます。
本日より、Amazon EKS サービスにリンクされたロールは、Amazon EKS が利用可能な AWS リージョンで作成されたすべての新しいクラスターに使用されます。サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API でクラスターを作成すると、Amazon EKS によってサービスにリンクされたロールが作成されます。Amazon EKS とそのサービスにリンクされたロールの詳細については、Amazon EKS のドキュメントをご覧ください。