このページの改善にご協力ください
本ユーザーガイドの改善にご協力いただけませんか? すべてのページの右側のペインにある GitHub リンクで、このページの編集を選択してください。皆さまにご協力いただくことで、あらゆる人々に使いやすいユーザーガイドになります。
アマゾン EKS はAWS アイデンティティとアクセス管理 (IAM) のサービスにリンクされたロールを使用します。サービスにリンクされたロールはアマゾン EKS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールはアマゾン EKS で事前定義されています。このロールにはサービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、アマゾン EKS の設定が簡単になります。サービスにリンクされたロールのアクセス許可はアマゾン EKS により定義されます。特に指定されている場合を除き、アマゾン EKS のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールはまずその関連リソースを削除しなければ削除できません。これにより、リソースへのアクセス許可を不用意に削除することが防止され、アマゾン EKS リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては「IAM と連動する AWS サービス」を参照し、[サービスとリンクした役割] (サービスにリンクされたロール) の列内で [Yes] (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには[はい] リンクを選択してください。
アマゾン EKS でのサービスにリンクされたロールのアクセス許可
アマゾン EKS はAWSServiceRoleForAmazonEKSNodegroup
という名前のサービスにリンクされたロールを使用します。このロールにより、アマゾン EKS はアカウント内のノードグループを管理できます。アタッチされた AWSServiceRoleForAmazonEKSNodegroup
ポリシーにより、ロールは 自動スケーリング グループ、セキュリティグループ、起動テンプレート、および IAM インスタンスプロファイルのリソースを管理できるようになります。詳細については「AWS 管理ポリシー: AWSServiceRoleForAmazonEKSNodegroup」を参照してください。
AWSServiceRoleForAmazonEKSNodegroup
サービスリンクロールはロールの引き受けについて以下のサービスを信頼します。
-
eks-nodegroup.amazonaws.com
ロールのアクセス許可ポリシーは指定したリソースに対して以下のアクションを実行することを アマゾン EKS に許可します。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。
アマゾン EKS でのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API でノードグループを作成すると、アマゾン EKS によってサービスリンクロールが作成されます。
重要
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。2017 年 1 月 1 日より前に アマゾン EKS サービスを使用している場合、サービスにリンクされたロールのサポートが開始された時点で、AWSServiceRoleForアマゾンEKSNodegroup ロールは アマゾン EKS によりアカウントに作成されています。詳細についてはIAM アカウントに新しいロールが表示されるを参照してください。
アマゾン EKS でのサービスにリンクされたロールの作成 (AWS API)
サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API でマネージド型ノードグループを作成すると、アマゾン EKS によってサービスリンクロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。別のマネージド型ノードグループを作成すると、アマゾン EKS によってサービスリンクロールが再度作成されます。
アマゾン EKS でのサービスにリンクされたロールの編集
アマゾン EKS ではAWSServiceRoleForAmazonEKSNodegroup
のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。
アマゾン EKS でのサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合にはそのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。
サービスリンクロールのクリーンアップ
IAM を使用してサービスにリンクされたロールを削除するには最初に、そのロールで使用されているリソースをすべて削除する必要があります。
注記
リソースの削除を試みた際に、対応するロールが アマゾン EKS サービスで使用されている場合、削除が失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
-
アマゾン EKS コンソール
を開きます。 -
左のナビゲーションペインで [クラスター] を選択してください。
-
[Compute] (コンピューティング) タブを選択してください。
-
[Node groups] (ノードグループ) セクションで、削除するノードグループを選択してください。
-
削除確認ウィンドウにノードグループの名前を入力し、[Delete (削除)] を選択してください。
-
この手順をクラスター内の他のすべてのノードグループに対して繰り返します。すべての削除操作が完了するまで待ちます。
サービスリンクロールの手動による削除
サービスにリンクされたロール AWSServiceRoleForAmazonEKSNodegroup
を削除するにはIAM コンソール、AWS CLI、または AWS API を使用します。詳細についてはIAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
アマゾン EKS のサービスにリンクされたロールがサポートされるリージョン
アマゾン EKS ではこのサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされます。詳細については「アマゾン EKS endpoints and quotas」(アマゾン EKS エンドポイントとクォータ) を参照してください。