このページの改善にご協力ください
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。
Amazon EKS Pod Identity の関連付けは、Amazon EC2 インスタンスプロファイルから Amazon EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能があります。
Amazon EKS Pod Identity は、追加の EKS Auth API と各ノードで実行されるエージェントポッドを使用して、ワークロードに認証情報を提供します。
ヒント
EKS Auto Mode クラスターに EKS Pod Identity エージェントをインストールする必要はありません。この機能は EKS Auto Mode に組み込まれています。
考慮事項
-
EKS Pod Identity エージェントはデフォルトでポッドが認証情報をリクエストするために
IPv4とIPv6のアドレスをリッスンします。エージェントは、IPv4のループバック (localhost) IP アドレス169.254.170.23とIPv6の localhost IP アドレス[fd00:ec2::23]を使用します。 -
IPv6アドレスを無効にするか、または localhostIPv6IP アドレスを禁止すると、エージェントは起動できません。IPv6を使用できないノードでエージェントを起動するには、「EKS Pod Identity エージェントで IPv6 を無効にする」の手順に従ってIPv6設定を無効にします。
Amazon EKS Pod Identity エージェントの作成
エージェントの前提条件
-
既存の Amazon EKS クラスター。デプロイするには「Amazon EKS の使用を開始する」を参照してください。クラスターバージョンとプラットフォームバージョンは、EKS Pod Identity クラスターバージョンに記載されているバージョン以降である必要があります。
-
ノードロールには、エージェントが EKS Auth API で
AssumeRoleForPodIdentityアクションを実行する権限があります。AWS マネージドポリシー: AmazonEKSWorkerNodePolicy を使用するか、次のようなカスタムポリシーを追加できます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "eks-auth:AssumeRoleForPodIdentity" ], "Resource": "*" } ] }このアクションをタグで制限して、エージェントを使用するポッドが引き受けることができるロールを制限できます。
-
ノードは Amazon ECR にアクセスしてイメージをダウンロードできます。アドオンのコンテナイメージは、「Amazon EKS アドオンの Amazon コンテナイメージレジストリの表示」に記載されているレジストリにあります。
なお、イメージの場所を変更して、AWS Management Console の [オプションの設定] や AWS CLI の
--configuration-valuesで EKS アドオンのimagePullSecretsを提供することができます。 -
ノードは Amazon EKS Auth API にアクセスできます。プライベートクラスターでは、AWS PrivateLink の
eks-authエンドポイントが必要です。
AWS コンソールでエージェントを設定する
-
Amazon EKS コンソール
を開きます。 -
左のナビゲーションペインで、[クラスター] を選択し、次にアドオンを設定するEKS Pod Identity エージェントを選択します。
-
[アドオン] タブを選択してください。
-
[その他のアドオンを入手] を選択してください。
-
EKS Pod Identity のアドオンボックスの右上にあるボックスを選択し、[次へ] を選択します。
-
[選択したアドオン設定を構成する] ページの [バージョン] ドロップダウンリストで任意のバージョンを選択します。
-
(オプション) [オプションの設定] を展開して追加の設定を入力します。例えば、代替のコンテナイメージの場所と
ImagePullSecretsを指定できます。許可されたキーのある JSON スキーマは、[アドオン設定スキーマ] に表示されます。設定キーと値を [設定値] に入力します。
-
[ 次へ] を選択してください。
-
EKS Pod Identity がクラスター上で実行されていることを確認してください。
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'出力例は次のとおりです。
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hこれで、クラスターで EKS Pod Identity の関連付けを使用できるようになりました。詳細については「IAM ロールを Kubernetes サービスアカウントに割り当てる」を参照してください。
AWS CLI でエージェントを設定する
-
次の AWS CLI コマンドを実行します。
my-clusterを自分のクラスター名に置き換えます。aws eks create-addon --cluster-name my-cluster --addon-name eks-pod-identity-agent --addon-version v1.0.0-eksbuild.1注記
EKS Pod Identity エージェントは、サービスアカウントの IAM ロール用の
service-account-role-arnを使用しません。EKS Pod Identity エージェントにはノードロールの権限を付与する必要があります。 -
EKS Pod Identity がクラスター上で実行されていることを確認してください。
kubectl get pods -n kube-system | grep 'eks-pod-identity-agent'出力例は次のとおりです。
eks-pod-identity-agent-gmqp7 1/1 Running 1 (24h ago) 24h eks-pod-identity-agent-prnsh 1/1 Running 1 (24h ago) 24hこれで、クラスターで EKS Pod Identity の関連付けを使用できるようになりました。詳細については「IAM ロールを Kubernetes サービスアカウントに割り当てる」を参照してください。
