Amazon EKS、新しい IAM 条件キーでクラスターガバナンスを強化
Amazon Elastic Kubernetes Service (EKS) では、クラスターの作成および設定 API 用に 7 つの IAM 条件キーが追加でサポートされるようになりました。これにより、IAM ポリシーとサービスコントロールポリシー (SCP) を通じて利用できるガバナンスコントロールが強化されました。マルチアカウント環境を管理する組織は、手動プロセスやデプロイ後のチェックに頼ることなく、セキュリティとコンプライアンスの要件をすべてのクラスターに一貫して適用するための一元化されたメカニズムを必要としています。この EKS IAM 条件キーの拡張により、プロアクティブなポリシーの適用がさらに強化され、組織はクラスター設定のガードレールを確立するためのよりきめ細かい制御が可能になります。
組織は、プライベート専用の API エンドポイントの強制 (eks:endpointPublicAccess、eks:endpointPrivateAccess)、シークレット暗号化のためのカスタマー管理の AWS KMS キーの必須化 (eks:encryptionConfigProviderKeyArns)、クラスターを承認済みの Kubernetes バージョンへの制限 (eks:kubernetesVersion)、本番ワークロードに対する削除保護の義務化 (eks:deletionProtection)、コントロールプレーンのスケーリング階層の指定 (eks:controlPlaneScalingTier)、高可用性を実現するためのゾーンシフト機能の有効化 (eks:zonalShiftEnabled) が可能になりました。これらの条件キーは、CreateCluster、UpdateClusterConfig、UpdateClusterVersion、および AssociateEncryptionConfig API に適用され、AWS Organizations SCP とシームレスに統合することで、アカウント全体にわたる一元的なガバナンスを実現します。
新しい IAM 条件キーは、Amazon EKS が利用可能なすべての AWS リージョンで、追加料金なしで利用できます。Amazon EKS IAM 条件キーの詳細については、Amazon EKS ユーザーガイドおよび Amazon EKS サービス認証リファレンスを参照してください。サービスコントロールポリシーの実装については、AWS Organizations ドキュメントを参照してください。