Kubernetes API への書き込みアクセスを AWS サービスに付与する - Amazon EKS
必要なアクセス許可CloudTrail の可視性

このページの改善にご協力ください

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。

Kubernetes API への書き込みアクセスを AWS サービスに付与する

必要なアクセス許可

AWS サービスが Amazon EKS クラスター内の Kubernetes リソースに対して書き込みオペレーションを実行できるようにするには、eks:AccessKubernetesApieks:MutateViaKubernetesApi の両方の IAM アクセス許可を付与する必要があります。

例えば、Amazon SageMaker HyperPod はこれらのアクセス許可を使用して、SageMaker AI Studio からのモデルデプロイを有効にします。詳細については、Amazon SageMaker AI デベロッパーガイドの「Set up optional JavaScript SDK permissions」を参照してください。

重要

作成、更新、削除などの書き込みオペレーションには両方のアクセス許可が必要です。いずれかのアクセス許可がない場合、書き込みオペレーションは失敗します。

CloudTrail の可視性

Kubernetes リソースに対して書き込みオペレーションを実行すると、CloudTrail ログに特定のオペレーション名が表示されます。

  • createKubernetesObject – 新しいリソースを作成する場合

  • updateKubernetesObject – 既存のリソースを変更する場合

  • deleteKubernetesObject – リソースを削除する場合

これらの CloudTrail イベントは、Kubernetes リソースに加えられたすべての変更の詳細な監査証跡を提供します。

注記

これらのオペレーション名は、監査目的でのみ CloudTrail ログに表示されます。これらは IAM アクションではなく、IAM ポリシーステートメントでは使用できません。IAM ポリシーを使用して Kubernetes リソースへの書き込みアクセスを制御するには、「必要なアクセス許可」セクションに示すように eks:MutateViaKubernetesApi アクセス許可を使用します。