Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

Amazon EKS Pod 実行 IAM ロール

フォーカスモード
Amazon EKS Pod 実行 IAM ロール - アマゾン EKS

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

このページの改善にご協力ください

本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。

Pods を AWS Fargate インフラストラクチャで実行するために、Amazon EKS Pod 実行ロールが必要になります。

クラスターが AWS Fargate インフラストラクチャ上で Pods を作成する場合、Fargate インフラストラクチャ上で実行されているコンポーネントは、ユーザーに代わって AWS API にコールを実行する必要があります。これは、Amazon ECR からコンテナイメージをプルしたり、ログを他の AWS サービスにルーティングしたりするなどのアクションを実行できるようにするためです。Amazon EKS Pod 実行ロールにより、これらを行うための IAM アクセス許可が付与されます。

Fargate プロファイルを作成する際には、プロファイルを使用して Fargate インフラストラクチャで実行される Amazon EKS コンポーネントのために、Pod 実行ロールを指定する必要があります。このロールは、認可のためにクラスターの Kubernetes ロールベースのアクセスコントロール (RBAC) に追加されます。これにより、Fargate インフラストラクチャで実行されている kubelet が Amazon EKS クラスターに登録され、クラスター内でノードとして表示されるようになります。

注記

Fargate プロファイルには、Amazon EC2 ノードグループとは異なる IAM ロールが必要です。

重要

Fargate Pod で実行されているコンテナは、Pod 実行ロールに関連付けられた IAM アクセス許可を引き受けることはできません。Fargate Pod 内のコンテナに他の AWS のサービスへの許可を付与するには、サービスアカウント用の IAM ロールを使用する必要があります。

Fargate プロファイルを作成する前に、AmazonEKSFargatePodExecutionRolePolicy で IAM ロールを作成する必要があります。

正しく設定された既存の Pod 実行ロールをチェックする

次の手順を使用して、正しく設定された Amazon EKS の Pod 実行ロールがアカウントにすでに存在しているかをチェックします。「混乱した代理」のセキュリティ上の問題を回避するには、ロールが SourceArn に基づいてアクセスを制限することが重要です。必要に応じて実行ロールを変更し、他のクラスター上で Fargate プロファイルのサポートを含めることができます。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[ロール] を選択します。

  3. [ロール] ページで、ロールの一覧から AmazonEKSFargatePodExecutionRole を検索します。ロールが存在しない場合は、「Amazon EKS の Pod 実行ロールの作成」を参照してロールを作成します。ロールが存在する場合は、そのロールを選択します。

  4. [AmazonEKSFargatePodExecutionRole] ページで、次の操作を実行します。

    1. [許可] を選択します。

    2. AmazonEKSFargatePodExecutionRolePolicy Amazon マネージドポリシーがロールにアタッチされていることを確認します。

    3. [信頼関係] を選択します。

    4. [信頼ポリシーを編集] を選択します。

  5. [信頼ポリシーを編集] ページで、信頼関係に次のポリシーが含まれており、クラスター上で Fargate プロファイルの行が存在していることを確認します。そうである場合は、[キャンセル] を選択します。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    ポリシーは一致するが、クラスター上で Fargate プロファイルを指定する行が存在しない場合は、ArnLike オブジェクトの上部に次の行を追加します。region-code はクラスターがある AWS リージョンに、111122223333 はアカウント ID に、my-cluster はクラスターの名前に置き換えます。

    "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*",

    ポリシーが一致しない場合は、前のポリシー全体をフォームにコピーして、[ポリシーの更新] を選択します。region-code を、クラスターのある AWS リージョンに置き換えます。アカウントで、すべての AWS リージョンで同じロールを使用する場合は、region-code* に置き換えます。111122223333 をアカウント ID に、my-cluster をクラスター名に置き換えます。アカウント内のすべてのクラスターに同じロールを使用する場合は、my-cluster* に置き換えます。

Amazon EKS の Pod 実行ロールの作成

クラスター用の Amazon EKS Pod 実行ロールをまだお持ちでない場合は、AWS Management Console または AWS CLI を使用して作成できます。

AWS Management Console
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. 左のナビゲーションペインで、[ロール] を選択します。

  3. [ロール] ページで、[ロールの作成] を選択します。

  4. [信頼されたエンティティを選択] ページで、以下の操作を実行します。

    1. [信頼するエンティティのタイプ][AWS サービス] を選択します。

    2. [他の AWS サービスのユースケース] ドロップダウンリストから、[EKS] を選択します。

    3. [EKS - Fargate Pod] を選択します。

    4. [Next] を選択します。

  5. [アクセス許可を追加] ページで [次へ] を選択します。

  6. [名前を付けて、レビューし、作成する] ページで、以下の操作を実行します。

    1. [ロール名] に、AmazonEKSFargatePodExecutionRole などのロールの一意の名前を入力します。

    2. [タグの追加 (オプション)] で、タグをキーバリューのペアとして添付して、メタデータをロールに追加します。IAM でのタグの使用に関する詳細については、『IAM ユーザーガイド』の「IAM リソースにタグを付ける」を参照してください。

    3. [ロールの作成] を選択します。

  7. [ロール] ページで、ロールの一覧から AmazonEKSFargatePodExecutionRole を検索します。ロールを選択します。

  8. [AmazonEKSFargatePodExecutionRole] ページで、次の操作を実行します。

    1. [信頼関係] を選択します。

    2. [信頼ポリシーを編集] を選択します。

  9. [信頼ポリシーを編集] ページで、次の操作を実行します。

    1. 次の内容をコピーして、[信頼ポリシーを編集] フォームに貼り付けます。region-code を、クラスターのある AWS リージョンに置き換えます。アカウントで、すべての AWS リージョンで同じロールを使用する場合は、region-code* に置き換えます。111122223333 をアカウント ID に、my-cluster をクラスター名に置き換えます。アカウント内のすべてのクラスターに同じロールを使用する場合は、my-cluster* に置き換えます。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
    2. [ポリシーの更新] を選択してください。

AWS CLI
  1. 次の内容をコピーして、pod-execution-role-trust-policy.json という名前のファイルに貼り付けます。region-code を、クラスターのある AWS リージョンに置き換えます。アカウントで、すべての AWS リージョンで同じロールを使用する場合は、region-code* に置き換えます。111122223333 をアカウント ID に、my-cluster をクラスター名に置き換えます。アカウント内のすべてのクラスターに同じロールを使用する場合は、my-cluster* に置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:eks:region-code:111122223333:fargateprofile/my-cluster/*" } }, "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  2. Pod 実行 IAM ロールを作成します。

    aws iam create-role \ --role-name AmazonEKSFargatePodExecutionRole \ --assume-role-policy-document file://"pod-execution-role-trust-policy.json"
  3. このロールに、必要な Amazon EKS 管理の IAM ポリシーをアタッチします。

    aws iam attach-role-policy \ --policy-arn arn:aws:iam::aws:policy/AmazonEKSFargatePodExecutionRolePolicy \ --role-name AmazonEKSFargatePodExecutionRole
プライバシーサイト規約Cookie の設定
© 2025, Amazon Web Services, Inc. or its affiliates.All rights reserved.