Amazon EKS アクセスエントリの設定 (コンソール)Amazon EKS アクセスエントリ (CDK) の設定 AmazonAIOpsAssistantPolicy AmazonAIOpsAssistantPolicy の更新

Amazon EKS との統合

CloudWatch 調査では、Amazon EKS クラスターから直接情報を利用できます。開始するには、まず Investigation Group IAM ロールへのアクセスを付与します。CloudWatch 調査にクラスター内のリソースへのアクセスを許可する提供されたアクセスポリシー AmazonAIOpsAssistantPolicy を使用することをお勧めします。このポリシーを使用することで、新機能が追加されると、ポリシーの更新が自動的に取得されます。

注記

AmazonAIOpsAssistantPolicy はアクセスポリシーです。CloudWatch 調査に関連するアクセスを許可する ID ポリシーは AIOpsAssistantPolicy です。

[詳細設定] オプションを使用して、アクセスポリシーによって提供されるアクセスを一連の名前空間またはクラスター全体に制限します。または、アクセスエントリを Kubernetes グループの RBAC アクセス許可に関連付けることで、アクセスをさらに制限することもできます。詳細については、「アクセスエントリを作成する」を参照してください。

Amazon EKS アクセスエントリの設定 (コンソール)

AWS マネジメントコンソールを使用して AmazonAIOpsAssistantPolicy を調査ロールに関連付けるには、以下の手順に従います。

CloudWatch コンソールを開き、調査設定ページに移動します。
Amazon EKS Access セクションで、AmazonAIOpsAssistantPolicy を調査ロールに関連付けるオプションを選択します。
ポリシーの詳細を確認し、関連付けを確認します。

アクセス範囲をさらにカスタマイズするには:

Amazon EKS Access セクションの [詳細設定] をクリックします。
Amazon EKS コンソールにリダイレクトされます。
Amazon EKS コンソールで、次のことができます。
1. ポリシーの範囲を特定の名前空間に設定する
2. より詳細なアクセスコントロールのためにグループ機能を設定する

Amazon EKS アクセスエントリ (CDK) の設定

AWS CDK を使用して Amazon EKS アクセスエントリを設定するには、以下のコード例を使用します。



    const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
        cluster: eksCluster,
        principal: investigationsIamRole.roleArn,
        accessPolicies: [
            AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
                accessScopeType: AccessScopeType.CLUSTER
            }),
        ],
    });

AmazonAIOpsAssistantPolicy

Amazon EKS アクセスポリシー AmazonAIOpsAssistantPolicy は、クラスター内のリソースへの包括的な読み取り専用アクセスを提供します。各リソースからの情報は、現在 CloudWatch Investigations では使用されていない可能性があります。



    - apiGroups: [""]
      resources:
        - pods
        - pods/log
        - services
        - nodes
        - namespaces
        - events
        - persistentvolumes
        - persistentvolumeclaims
        - configmaps
      verbs:
        - get
        - list

    - apiGroups: ["apps"]
      resources:
        - deployments
        - replicasets
        - statefulsets
        - daemonsets
      verbs:
        - get
        - list

    - apiGroups: ["batch"]
      resources:
        - jobs
        - cronjobs
      verbs:
        - get
        - list

    - apiGroups: ["events.k8s.io"]
      resources:
        - events
      verbs:
        - get
        - list

    - apiGroups: ["networking.k8s.io"]
      resources:
        - ingresses
        - ingressclasses
      verbs:
        - get
        - list

    - apiGroups: ["storage.k8s.io"]
      resources:
        - storageclasses
      verbs:
        - get
        - list

    - apiGroups: ["metrics.k8s.io"]
      resources:
        - pods
        - nodes
      verbs:
        - get
        - list

AmazonAIOpsAssistantPolicy の更新

変更	説明	日付
CloudWatch 調査のポリシーを追加する	`AmazonAIOpsAssistantPolicy` の初回リリース	2025 年 8 月 9 日

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

調査がサポートされている AWS のサービス

はじめに