Amazon EKS コンソールで Kubernetes クラスターのリソースを表示するためのアクセスを付与する - Amazon EKS

Amazon EKS コンソールで Kubernetes クラスターのリソースを表示するためのアクセスを付与する

IAM プリンシパルに Amazon EKS コンソールへのアクセスを許可して、接続されたクラスターで実行されている Kubernetes リソースに関する情報を表示します。

前提条件

AWS Management Console にアクセスするために使用する IAM プリンシパルは、次の要件を満たしている必要があります。

  • eks:AccessKubernetesApi IAM アクセス許可が必要です。

  • Amazon EKS Connector サービスアカウントが、クラスター内の IAM プリンシパルを偽装できる。これにより、Amazon EKS Connector は IAM プリンシパルを Kubernetes ユーザーにマッピングできます。

Amazon EKS Connector クラスターロールを作成して適用するには

  1. eks-connector クラスターのロールテンプレートをダウンロードします。

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. クラスターロールテンプレート YAML ファイルを編集します。%IAM_ARN% のリファレンスを IAM プリンシパルの Amazon リソースネーム (ARN) に置き換えます。

  3. Amazon EKS Connector クラスターロール YAML を Kubernetes クラスターに適用します。

    kubectl apply -f eks-connector-clusterrole.yaml

IAM プリンシパルが Amazon EKS コンソールで Kubernetes リソースを確認するには、そのプリンシパルが、リソースを読み取るために必要な許可を持つ Kubernetes role または clusterrole に関連付けられている必要があります。詳細については、Kubernetes ドキュメントの「RBAC 認証の使用」を参照してください。

接続されたクラスターにアクセスするように IAM プリンシパルを設定するには

  1. 以下のいずれかのサンプルマニフェストファイルをダウンロードして、それぞれ clusterrole および clusterrolebinding、または role および rolebinding を作成できます。

    すべての名前空間の Kubernetes リソースを表示する
    • クラスターのロール eks-connector-console-dashboard-full-access-clusterrole は、コンソールで視覚化できるすべての名前空間とリソースへのアクセスを提供します。クラスターに適用する前に roleclusterrole、および対応するバインディングの名前を変更することができます。次のコマンドを使用して、サンプルファイルをダウンロードします。

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    特定の名前空間内の Kubernetes リソースを表示する
    • このファイルの名前空間は default です。別の名前空間を指定する場合は、クラスターに適用する前にファイルを編集します。次のコマンドを使用して、サンプルファイルをダウンロードします。

      curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. フルアクセスまたは制限付きアクセスの YAML ファイルを編集して、%IAM_ARN% のリファレンスを IAM プリンシパルの Amazon リソースネーム (ARN) に置き換えます。

  3. フルアクセスまたは制限付きアクセスの YAML ファイルを Kubernetes クラスターに適用します。YAML ファイルの値は独自の値に置き換えます。

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

接続されたクラスター内の Kubernetes リソースを表示するには、「AWS Management Console に Kubernetes リソースを表示する」を参照してください。[リソース] タブ上の一部のリソースタイプのデータは、接続されたクラスターでは使用できません。