このページの改善にご協力ください
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。
Amazon EKS ノードの IAM ロール
Amazon EKS ノード kubelet デーモンが、ユーザーに代わって AWS API への呼び出しを実行します。ノードは、IAM インスタンスプロファイルおよび関連ポリシーを通じて、これらの API コールのアクセス許可を受け取ります。ノードを起動してクラスターに登録する前に、起動するときに使用するノード用の IAM ロールを作成する必要があります。この要件は、Amazon が提供する Amazon EKS 最適化 AMI で起動されたノード、または使用する予定の他のノード AMI で起動されたノードに適用されます。さらに、この要件はマネージド型ノードグループとセルフマネージド型ノードの両方に適用されます。
注記
クラスターの作成に使用したロールは使用できません。
ノードを使用するには、次の アクセス許可を持つ IAM ロールを作成する必要があります。
-
kubeletが VPC 内の Amazon EC2 リソースを記述するためのアクセス許可 (AmazonEKSWorkerNodePolicy ポリシーで規定されているなど)。このポリシーは、Amazon EKS Pod Identity エージェントのアクセス許可も提供します。 -
kubeletが Amazon Elastic Container Registry (Amazon ECR) のコンテナイメージを使用するためのアクセス許可 (AmazonEC2ContainerRegistryPullOnly ポリシーで規定されているなど)。ネットワーキング用の組み込みアドオンは Amazon ECR のコンテナイメージを使用するポッドを実行するため、Amazon Elastic Container Registry (Amazon ECR) のコンテナイメージを使用する許可が必要です。 -
(オプション) Amazon EKS Pod Identity エージェントが
eks-auth:AssumeRoleForPodIdentityアクションを使用してポッドの認証情報を取得するためのアクセス許可。AmazonEKSWorkerNodePolicy を使用しない場合、EKS Pod Identity を使用するには EC2 アクセス許可に加えてこのアクセス許可も提供する必要があります。 -
(任意) IRSA または EKS Pod Identity を使用して VPC CNI ポッドにアクセス許可を付与しない場合は、インスタンスロールで VPC CNI のアクセス許可を付与する必要があります。
AmazonEKS_CNI_Policyマネージドポリシー (IPv4ファミリーを使用してクラスターを作成した場合) または作成した IPv6 ポリシー (IPv6ファミリーを使用してクラスターを作成した場合) のいずれかを使用できます。ただし、このロールにポリシーをアタッチするのではなく、Amazon VPC CNI アドオン専用の別のロールにポリシーをアタッチすることをお勧めします。Amazon VPC CNI アドオン用に別のロールを作成する方法の詳細については、IRSA を使用するように Amazon VPC CNI プラグインを設定する を参照してください。 -
(オプション)
kubeletが AmazonElasticContainerRegistryPublicReadOnly ポリシーなどで提供される、Amazon ECR Public(public.ecr.aws)のコンテナイメージを使用するためのアクセス許可。ECR Public からコンテナイメージを取得する場合は、これらのアクセス許可を設定することをお勧めします。アクセス許可がなくてもプルは成功しますが、レート制限がかかる可能性があります。
注記
Amazon EC2 ノードグループには、Fargate プロファイルとは異なる IAM ロールが必要です。詳細については、Amazon EKS Pod 実行 IAM ロール を参照してください。
既存のノードロールの確認
以下の手順を使用して、アカウントに既に Amazon EKS ノードロールがあるかどうかが確認できます。
-
IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
-
左のナビゲーションペインで、[ロール] を選択してください。
-
ロールのリストで
eksNodeRole、AmazonEKSNodeRole、またはNodeInstanceRoleを検索します。これらの名前のいずれかを持つロールが存在しない場合、「Amazon EKS ノードでの IAM ロールの作成」を参照してロールを作成してください。eksNodeRole、AmazonEKSNodeRole、あるいはNodeInstanceRoleを含むロールが存在する場合、そのロールを選択して、アタッチされているポリシーを表示します。 -
[許可] を選択してください。
-
AmazonEKSWorkerNodePolicy および AmazonEC2ContainerRegistryPullOnly のマネージドポリシーがロールにアタッチされていること、またはカスタムポリシーが最小限の許可でアタッチされていることを確認します。
注記
そのロールに [AmazonEKS_CNI_Policy] ポリシーがアタッチされている場合は、そのポリシーを一度削除して、
aws-nodeKubernetes サービスアカウントにマッピングされた IAM ロールにアタッチし直すことをお勧めします。詳細については、IRSA を使用するように Amazon VPC CNI プラグインを設定する を参照してください。 -
[信頼関係] を選択し、[信頼ポリシーの編集] を選択します。
-
信頼関係に以下のポリシーが含まれていることを確認します。信頼関係が以下のポリシーと一致する場合、[キャンセル] を選択してください。信頼関係が一致しない場合、ポリシーを [信頼ポリシーの編集] ウィンドウにコピーし、[ポリシーの更新] を選択してください。
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "ec2.amazonaws.com" ] } } ] }
Amazon EKS ノードでの IAM ロールの作成
AWS マネジメントコンソール または AWS CLI を使用して、ノードの IAM ロールを作成できます。
- AWS マネジメントコンソール
-
-
IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。
-
左のナビゲーションペインで、[ロール] を選択してください。
-
[ロール] ページで、[ロールの作成] を選択してください。
-
[信頼されたエンティティを選択] ページで、以下の操作を実行します。
-
[信頼するエンティティのタイプ] で [AWS サービス] を選択してください。
-
[ユースケース] で、[EC2] を選択してください。
-
[次へ] を選択します。
-
-
[アクセス許可を追加] ページで、カスタムポリシーをアタッチするか、以下の操作を行います。
-
[フィルタポリシー] ボックスに
AmazonEKSWorkerNodePolicyと入力します。 -
検索結果の [AmazonEKSWorkerNodePolicy] の左にあるチェックボックスを選択します。
-
[フィルターのクリア] を選択します。
-
[フィルタポリシー] ボックスに
AmazonEC2ContainerRegistryPullOnlyと入力します。 -
検索結果の [AmazonEC2ContainerRegistryPullOnly] の左にあるチェックボックスを選択します。
このロールまたは
aws-nodeKubernetes サービスアカウントにマッピングされた別のロールに、AmazonEKS_CNI_Policy マネージドポリシーまたは作成した IPv6 ポリシーをアタッチする必要もあります。このロールに対してではなく、Kubernetes サービスアカウントに関連付けられたロールに、前出のポリシーを割り当てることをお勧めします。詳細については、IRSA を使用するように Amazon VPC CNI プラグインを設定する を参照してください。 -
[次へ] を選択します。
-
-
[名前を付けて、レビューし、作成する] ページで、以下の操作を実行します。
-
[ロール名] に、
AmazonEKSNodeRoleなどのロールの一意の名前を入力します。 -
[説明] では現在のテキストを「
Amazon EKS - Node role」などの説明文に置き換えます。 -
[タグの追加 (オプション)] で、タグをキーバリューのペアとして添付して、メタデータをロールに追加します。IAM でのタグの使用に関する詳細については『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。
-
[ロールの作成] を選択してください。
-
-
- AWS CLI
-
-
次のコマンドを実行して、
node-role-trust-relationship.jsonファイルを作成します。{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "ec2.amazonaws.com" ] } } ] } -
IAM ロールを作成します。
aws iam create-role \ --role-name AmazonEKSNodeRole \ --assume-role-policy-document file://"node-role-trust-relationship.json" -
IAM ロールに、2 つの必須なマネージド IAM ポリシーをアタッチします。
aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy \ --role-name AmazonEKSNodeRole aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly \ --role-name AmazonEKSNodeRole -
クラスターを作成した IP ファミリーに応じて、次の IAM ポリシーの 1 つを IAM ロールにアタッチします。このポリシーは、このロール、または、Kubernetes の
aws-nodeサービスアカウントに関連付けられたロールにアタッチされる必要があります。これらのロールは、Amazon VPC CNI plugin for Kubernetes で使用されます。このポリシーは、Kubernetes サービスアカウントに関連付けられたロールにを割り当てることをお勧めします。Kubernetes サービスアカウントに関連付けられたロールへのポリシーの割り当てについては、「IRSA を使用するように Amazon VPC CNI プラグインを設定する」を参照しください。-
IPv4
aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy \ --role-name AmazonEKSNodeRole -
IPv6
-
次のテキストをコピーし、
vpc-cni-ipv6-policy.jsonという名前のファイルに保存します。{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:AssignIpv6Addresses", "ec2:DescribeInstances", "ec2:DescribeTags", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstanceTypes" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ] } ] } -
IAM ポリシーを作成します。
aws iam create-policy --policy-name AmazonEKS_CNI_IPv6_Policy --policy-document file://vpc-cni-ipv6-policy.json -
IAM ロールに IAM ポリシーをアタッチします。
111122223333は、ご自分のアカウント ID に置き換えます。aws iam attach-role-policy \ --policy-arn arn:aws:iam::111122223333:policy/AmazonEKS_CNI_IPv6_Policy \ --role-name AmazonEKSNodeRole
-
-
-
