翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
EKS クラスターでサービスアカウント (IRSA) のIAMロールを有効にする
サービスアカウント機能のIAMロールは、Amazon EKSバージョン 1.14 以降、および 2019 年 9 月 3 日以降にバージョン 1.13 以降に更新されたEKSクラスターで使用できます。この機能を使用するには、既存のEKSクラスターをバージョン 1.14 以降に更新できます。詳細については、「Amazon EKSクラスター Kubernetes バージョン の更新」を参照してください。
クラスターがサービスアカウントのIAMロールをサポートしている場合は、OpenID Connect
重要
このコマンドから適切な出力を受け取る AWS CLI には、 の最新バージョンを使用する必要があります。
aws eks describe-cluster --namecluster_name--query "cluster.identity.oidc.issuer" --output text
予想される出力は次のようになります。
https://oidc.eks.<region-code>.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E
クラスター内のサービスアカウントにIAMロールを使用するには、eksctl または を使用して OIDC ID プロバイダーを作成する必要がありますAWS Management Console。
を使用してクラスターの IAM OIDC ID プロバイダーを作成するには eksctl
以下のコマンドを使用して、eksctl のバージョンを確認します。この手順では、eksctl をインストール済みで、お使いの eksctl のバージョンが 0.32.0 以上であることを前提としています。
eksctl version
eksctl のインストールまたはアップグレードの詳細については、「eksctl のインストールまたはアップグレード」を参照してください。
次のコマンドを使用して、クラスターの OIDC ID プロバイダーを作成します。置換 cluster_name 独自の値を使用します。
eksctl utils associate-iam-oidc-provider --clustercluster_name--approve
を使用してクラスターの IAM OIDC ID プロバイダーを作成するには AWS Management Console
クラスターの Amazon EKSコンソールの説明URLからOIDC発行者を取得するか、次の AWS CLI コマンドを使用します。
次のコマンドを使用して、 URLからOIDC発行者を取得します AWS CLI。
aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text
Amazon EKSコンソールURLからOIDC発行者を取得するには、次の手順を実行します。
-
でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/
。 -
ナビゲーションペインで、[ID プロバイダー] を選択し、[プロバイダーの作成] をクリックします。
-
[プロバイダーのタイプ] で [Choose a provider type] を選択してから、[OpenID Connect] を選択します。
-
プロバイダー URLURLで、クラスターのOIDC発行者を貼り付けます。
-
[対象者] に、「sts.amazonaws.com」と入力し、[次のステップ] を選択します。
-
-
プロバイダー情報が正しいことを確認し、[作成] を選択して ID プロバイダーを作成します。
