投稿日: Mar 27, 2023
Amazon Elastic Kubernetes Service (EKS) は、Windows コンテナ用のドメインレスのグループ管理サービスアカウント (gMSA、Group Managed Service Account) に対応しました。そのため、Amazon EKS でホストされているアプリケーションを Microsoft Active Directory (AD) で簡単に認証できます。これは、ポータブルなユーザー ID とプラグインメカニズムを使用して、Windows コンテナの gMSA 認証情報を取得できるためです。今後は、自動スケーリングイベントの場合でも、EKS ノードをドメインに参加させることなく、AD 認証を必要とするコンテナを実行できるようになりました。
グループ管理サービスアカウント (gMSA) は、複数の管理機能を備えたマネージドドメインアカウントです。パスワードの自動管理、サービスプリンシパル名 (SPN、service principal name) の管理が可能なほか、複数のサーバーまたはインスタンスの管理を他の管理者に委任する機能があります。gMSA を使用すると、複数のコンテナまたはリソースで AD アカウントを共有できます。そのため、各コンテナやリソースを個別に認証したり、SQL Server ホストやファイル共有などのネットワーク共有リソースにアクセスしたりする必要がありません。EKS バージョン 1.14 のリリース以降は、基盤となるノードをターゲットの AD ドメインに参加させることで、EKS Windows コンテナを gMSA を使用して実行できていました。今後は、最新の EKS 最適化 Windows AMI (バージョン 1.22 以降) に組み込まれているプラグインも使用できます。このプラグインにより、ドメインに参加していない Windows ノードが、ホストコンピュータアカウントではなくポータブルユーザー ID を使用して gMSA 認証情報を取得可能です。開始方法の詳細な手順については、こちらのブログ記事を参照してください。
Amazon EKS での Windows コンテナのサポートは、こちらに一覧表示されているすべてのパブリック AWS リージョンと AWS GovCloud (米国) リージョンで利用可能です。Amazon EKS で Windows コンテナを実行する方法の詳細については、Amazon EKS 最適化 Windows AMI のドキュメントおよび製品ページをご覧ください。