# Amazon EKS との統合
CloudWatch 調査の調査グループでは、Amazon EKS クラスターから直接情報を利用できます。開始するには、まず `Investigation Group` IAM ロールへのアクセスを許可します。CloudWatch 調査の調査グループにクラスター内のリソースへのアクセスを許可するデフォルトの AWS マネージド*アクセスポリシー* `AmazonAIOpsAssistantPolicy` を使用することをお勧めします。このポリシーを使用することで、必要に応じて、ポリシーの更新が自動的に取得されます。
**注記**
`AmazonAIOpsAssistantPolicy` はアクセスポリシーです。CloudWatch 調査の調査グループに関連付けられたアクセスを許可する AWS マネージド ID ポリシーは [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AIOpsAssistantPolicy.html) です。
**[詳細設定]** オプションを使用して、アクセスポリシーによって提供されるアクセスを一連の名前空間またはクラスター全体に制限します。または、アクセスエントリを Kubernetes グループの RBAC アクセス許可に関連付けることで、アクセスをさらに制限することもできます。詳細については、「[アクセスエントリを作成する](https://docs.aws.amazon.com/eks/latest/userguide/creating-access-entries.html)」を参照してください。
## Amazon EKS アクセスエントリの設定 (コンソール)
AWS マネジメントコンソールを使用して `AmazonAIOpsAssistantPolicy` を調査ロールに関連付けるには、以下の手順に従います。
1. CloudWatch コンソールを開き、調査設定ページに移動します。
1. Amazon EKS Access セクションで、`AmazonAIOpsAssistantPolicy` を調査ロールに関連付けるオプションを選択します。
1. ポリシーの詳細を確認し、関連付けを確認します。
アクセス範囲をさらにカスタマイズするには:
1. Amazon EKS Access セクションの **[詳細設定]** をクリックします。
1. Amazon EKS コンソールにリダイレクトされます。
1. Amazon EKS コンソールで、次のことができます。
1. ポリシーの範囲を特定の名前空間に設定する
1. より詳細なアクセスコントロールのためにグループ機能を設定する
## Amazon EKS アクセスエントリ (CDK) の設定
AWS CDK を使用して Amazon EKS アクセスエントリを設定するには、以下のコード例を使用します。
```
const testAccessEntry = new AccessEntry(this, `test-access-entry`, {
cluster: eksCluster,
principal: investigationsIamRole.roleArn,
accessPolicies: [
AccessPolicy.fromAccessPolicyName('AmazonAIOpsAssistantPolicy', {
accessScopeType: AccessScopeType.CLUSTER
}),
],
});
```
## AmazonAIOpsAssistantPolicy
Amazon EKS アクセスポリシー `AmazonAIOpsAssistantPolicy` は、クラスター内のリソースへの包括的な読み取り専用アクセスを提供します。各リソースからの情報は、現在 CloudWatch 調査では使用されていない可能性があります。
```
- apiGroups: [""]
resources:
- pods
- pods/log
- services
- nodes
- namespaces
- events
- persistentvolumes
- persistentvolumeclaims
- configmaps
verbs:
- get
- list
- apiGroups: ["apps"]
resources:
- deployments
- replicasets
- statefulsets
- daemonsets
verbs:
- get
- list
- apiGroups: ["batch"]
resources:
- jobs
- cronjobs
verbs:
- get
- list
- apiGroups: ["events.k8s.io"]
resources:
- events
verbs:
- get
- list
- apiGroups: ["networking.k8s.io"]
resources:
- ingresses
- ingressclasses
verbs:
- get
- list
- apiGroups: ["storage.k8s.io"]
resources:
- storageclasses
verbs:
- get
- list
- apiGroups: ["metrics.k8s.io"]
resources:
- pods
- nodes
verbs:
- get
- list
```
## AmazonAIOpsAssistantPolicy の更新
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| CloudWatch 調査のポリシーを追加する | AmazonAIOpsAssistantPolicy の初回リリース | 2025 年 8 月 9 日 |