AWSアドオン - アマゾン EKS
Amazon VPC CNI Kubernetes用プラグインCoreDNSKube-proxyAmazon EBS CSI ドライバーAmazon EFS CSI ドライバーAmazon FSx CSI ドライバーMountpoint for Amazon S3 CSI ドライバーCSI スナップショットコントローラーAmazon SageMaker HyperPod タスクガバナンスネットワーク・フロー・モニター の AWSノードモニタリングエージェントAWS オープンテレメトリー用ディストロAmazon GuardDuty エージェントAmazon CloudWatch 観測可能エージェントAWS プライベート CA の Connector for KubernetesEKS Pod Identity エージェント

このページの改善にご協力ください

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「GitHub でこのページを編集する」リンクを選択してください。

AWSアドオン

以下の Amazon EKS アドオンをクラスターで作成できます。eksctl、AWS Management Console、または AWS CLI を使用して、使用可能なアドオンの最新リストを表示できます。使用可能なすべてのアドオンを確認したり、アドオンをインストールしたりするにはAmazon EKS アドオンを作成する を参照してください。アドオンが IAM アクセス権限を要求する場合、クラスター用に IAM OpenID Connect (OIDC) プロバイダーが必要です。既に存在しているかどうかを確認する、または作成するには「クラスターの IAM OIDC プロバイダーを作成するには」を参照してください。アドオンはインストール後に、作成または削除できます。詳細については「Amazon EKS アドオンを更新する」または「クラスターから Amazon EKS アドオンを削除する」を参照してください。Amazon EKS Hybrid Nodes で EKS アドオンを実行する際の考慮事項の詳細については「ハイブリッドノードのアドオンを構成する」を参照してください。

次の Amazon EKS アドオンのいずれかを使用できます。

説明 詳細はこちら 互換性のあるコンピューティングタイプ

クラスターのためにネイティブ VPC ネットワークを提供する

Amazon VPC CNI Kubernetes用プラグイン

EC2

Kubernetes クラスター DNS として機能する、フレキシブルで拡張可能な DNS サーバー

CoreDNS

EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes

各 Amazon EC2 ノードのネットワークルールを管理する

Kube-proxy

EC2、EKS Hybrid Nodes

クラスターのために Amazon EBS ストレージを提供する

Amazon EBS CSI ドライバー

EC2

クラスターのために Amazon EFS ストレージを提供する

Amazon EFS CSI ドライバー

EC2、EKS 自動モード

クラスターに Amazon FSx for Lustre ストレージを提供する

Amazon FSx CSI ドライバー

EC2、EKS 自動モード

クラスターのために Amazon S3 ストレージを提供する

Mountpoint for Amazon S3 CSI ドライバー

EC2、EKS 自動モード

追加ノードのヘルス問題を検出する

ノードモニタリングエージェント

EC2、EKS Hybrid Nodes

Amazon EBS CSI ドライバーなどの互換性のある CSI ドライバーでスナップショット機能の使用を有効にする

CSI スナップショットコントローラー

EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes

SageMaker HyperPod タスクガバナンスは Amazon EKS クラスター内のチーム間のコンピューティングリソースの割り当てと使用状況を最適化し、タスクの優先順位付けとリソース共有の非効率性に対処します。

Amazon SageMaker HyperPod タスクガバナンス

EC2、EKS 自動モード

ネットワークフローデータを収集して Amazon CloudWatch に報告する Kubernetes エージェント。クラスターノード間の TCP 接続を包括的にモニタリングできます。

ネットワーク・フロー・モニター の AWS

EC2、EKS 自動モード

オープンテレメトリー プロジェクトの、安全かつ本番に対応した、AWS によってサポートされているディストリビューション

AWS オープンテレメトリー用ディストロ

EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes

AWS CloudTrail 管理イベントや Amazon VPC フローログなどの基本的なデータソースを分析および処理するセキュリティモニタリングサービス。Amazon GuardDuty は、Kubernetes 監査ログやランタイムモニタリングなどの機能も処理します

Amazon GuardDuty エージェント

EC2、EKS 自動モード

AWS によって提供されるモニタリングおよびオブザーバビリティサービス。このアドオンは CloudWatch エージェントをインストールし、Amazon EKS のオブザーバビリティが強化された CloudWatch アプリケーションシグナルと CloudWatch コンテナインサイトの両方を有効にします

Amazon CloudWatch 観測可能エージェント

EC2、EKS 自動モード、EKS Hybrid Nodes

EC2 インスタンスプロファイルから EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能。

EKS Pod Identity エージェント

EC2、EKS Hybrid Nodes

cert-manager を有効にして、AWS プライベート CA から X.509 証明書を発行します。cert-manager が必要です。

AWS プライベート CA の Connector for Kubernetes

EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes

Amazon VPC CNI Kubernetes用プラグイン

Amazon VPC CNI Plugin for Kubernetes の Amazon EKS アドオンは、クラスターにネイティブ VPC ネットワークを提供する Kubernetes コンテナネットワークインターフェイス (CNI) プラグインです。このアドオンのセルフマネージドタイプまたはマネージドタイプが、デフォルトで各 Amazon EC2 ノードにインストールされます。詳細については「Kubernetesコンテナネットワークインターフェース(CNI)プラグイン」を参照してください。

注記

このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については「Amazon EKS 自動モードl の考慮事項」を参照してください。

Amazon EKS アドオン名は vpc-cni です。

必要な IAM 許可

このアドオンはAmazon EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。

クラスターが IPv4 ファミリーを使用する場合はAmazonEKS_CNI_Policy のアクセス権限が必要です。クラスターが IPv6 ファミリーを使用する場合はIPv6 モードのアクセス許可を持つ IAM ポリシーを作成する必要があります。次のコマンドで、IAM ロールを作成し、そのロールにポリシーの 1 つをアタッチして、アドオンが使用する Kubernetes サービスアカウントに注釈を付けることができます。

マイクラスター をクラスターの名前に置き換え、AmazonEKSVPCCNIRole を役割の名前に置き換えます。クラスターが IPv6 ファミリを使用する場合はAmazonEKS_CNI_Policy を作成したポリシーの名前に置き換えてください。このコマンドを使用するにはデバイスに eksctl がインストールされている必要があります。別のツールを使用してロールを作成し、ポリシーをアタッチして、Kubernetes サービスアカウントに注釈を付ける必要がある場合は、「IAM ロールを Kubernetes サービスアカウントに割り当てる」を参照してください。

eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve

情報を更新する

一度に更新できるマイナーバージョンは 1 つのみです。例えば、現在のバージョンが 1.28.x-eksbuild.y で、これを 1.30.x-eksbuild.y に更新する場合は現在のバージョンを 1.29.x-eksbuild.y に更新してから、再度 1.30.x-eksbuild.y に更新する必要があります。アドオンの更新の詳細については「Amazon VPC CNI を更新する (Amazon EKS アドオン)」を参照してください。

CoreDNS

CoreDNS の Amazon EKS アドオンは、Kubernetes クラスター DNS として機能できる柔軟で拡張可能な DNS サーバーです。このアドオンのセルフマネージドタイプまたはマネージドタイプが、クラスターの作成時にデフォルトでインストールされました。少なくとも 1 つのノードで Amazon EKS クラスターを起動すると、クラスターにデプロイされたノード数に関係なく、デフォルトで CoreDNS イメージの 2 つのレプリカがデプロイされます。これらの CoreDNS ポッドは、クラスター内のすべてのポッドの名前解決を行います。クラスターに Fargate プロファイルが含まれ、名前空間が CoreDNS デプロイの名前空間と一致している場合、CoreDNS Pod を Fargate ノードにデプロイできます。詳細については、起動時にどの Pod が AWS Fargate を使用するのかを定義するを参照してください。

注記

このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については「Amazon EKS 自動モードl の考慮事項」を参照してください。

Amazon EKS アドオン名は coredns です。

必要な IAM 許可

このアドオンには許可は必要ありません。

追加情報

CoreDNS の詳細については、Kubernetes ドキュメントの「サービスディスカバリーに CoreDNS を使用する」および「Customizing DNS Service」を参照してください。

Kube-proxy

Kube-proxy Amazon EKS アドオンは各 Amazon EC2 ノードのネットワークルールを維持します。これにより、Pod とのネットワーク通信が可能になります。このアドオンのセルフマネージドタイプまたはマネージドタイプが、デフォルトでクラスター内の各 Amazon EC2 ノードにインストールされます。

注記

このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については「Amazon EKS 自動モードl の考慮事項」を参照してください。

Amazon EKS アドオン名は kube-proxy です。

必要な IAM 許可

このアドオンには許可は必要ありません。

情報を更新する

現在のバージョンを更新する前に、次の要件を考慮してください:

追加情報

kube-proxy の詳細については、Kubernetes ドキュメントの「kube-proxy」を参照してください。

Amazon EBS CSI ドライバー

Amazon EBS CSI ドライバーの Amazon EKS アドオンは、クラスター用に Amazon EBS ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

注記

このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。自動モード にはブロックストレージ機能があります。詳細については「ステートフルワークロードのサンプルを EKS Auto Mode にデプロイする」を参照してください。

Amazon EKS アドオン名は aws-ebs-csi-driver です。

必要な IAM 許可

このアドオンはAmazon EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。AmazonEBSCSIDriverPolicy AWS マネージドポリシーの許可が必要です。次のコマンドで IAM 役割を作成して、それにマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に置き換え、AmazonEKS_EBS_CSI_DriverRole を役割の名前に置き換えます。このコマンドを使用するにはデバイスに eksctl がインストールされている必要があります。別のツールを使用する必要がある場合や、暗号化にカスタム KMS キー を使用する必要がある場合はステップ 1: IAM ロールを作成する を参照してください。

eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy \
    --approve

追加情報

アドオンの詳細については「Amazon EBS で Kubernetes ボリュームストレージを使用する」を参照してください。

Amazon EFS CSI ドライバー

Amazon EFS CSI ドライバー Amazon EKS アドオンは、クラスター用に Amazon EFS ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

Amazon EKS アドオン名は aws-efs-csi-driver です。

必要な IAM 許可

必要な IAM アクセス権限 — このアドオンは Amazon EKS の サービスアカウントの IAM 役割機能を利用します。詳細については「サービスアカウントの IAM ロール」を参照してください。AmazonEFSCSIDriverPolicy AWS マネージドポリシーの許可が必要です。次のコマンドで IAM 役割を作成して、その役割にマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に置き換え、AmazonEKS_EFS_CSI_DriverRole を役割の名前に置き換えます。これらのコマンドを使用するにはデバイスに eksctl がインストールされている必要があります。別のツールを使用する必要がある場合はステップ 1: IAM ロールを作成する を参照してください。

export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"

追加情報

アドオンの詳細については「Amazon EFS で Elastic File System ストレージを使用する」を参照してください。

Amazon FSx CSI ドライバー

Amazon FSx CSI ドライバー Amazon EKS アドオンは、クラスター用に Amazon FSx for Lustre ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

Amazon EKS アドオン名は aws-fsx-csi-driver です。

注記

  • クラスターに既存の Amazon FSx CSI ドライバーをインストールすると、アドオンのインストールに失敗する可能性があります。EKS 以外の FSx CSI ドライバーが存在するところに Amazon EKS のアドオンバージョンをインストールしようとすると、リソースの競合によりインストールが失敗します。この問題を解決するには、インストール時に OVERWRITE フラグを使用します。

    aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE

  • Amazon FSx CSI ドライバー EKS アドオンの認証には、EKS Pod Identity エージェントが必要です。このコンポーネントがないと、アドオンは「Amazon EKS Pod Identity agent is not installed in the cluster」というエラーで失敗し、ボリュームオペレーションが回避されます。FSx CSI ドライバーアドオンをデプロイする前後に Pod Identity エージェントをインストールします。詳細については、「Amazon EKS Pod Identity エージェントのセットアップ」を参照してください。

必要な IAM アクセス許可

このアドオンはAmazon EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については、「サービスアカウントの IAM ロール」を参照してください。AmazonFSxFullAccess AWSマネージドポリシーの許可が必要です。次のコマンドで IAM 役割を作成して、それにマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に置き換え、AmazonEKS_FSx_CSI_ をロールの名前に置き換えます。このコマンドを使用するにはデバイスに eksctl がインストールされている必要があります。

eksctl create iamserviceaccount \
    --name fsx-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_FSx_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonFSxFullAccess \
    --approve

追加情報

アドオンの詳細については「Amazon FSx for Lustre で高性能なアプリケーションストレージを使用する」を参照してください。

Mountpoint for Amazon S3 CSI ドライバー

Mountpoint for Amazon S3 CSI ドライバーの Amazon EKS アドオンは、クラスター用に Amazon S3 ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

Amazon EKS アドオン名は aws-mountpoint-s3-csi-driver です。

必要な IAM 許可

このアドオンはAmazon EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。

作成される IAM 役割には S3 へのアクセスを許可するポリシーが必要です。ポリシーを作成するときはMountpoint IAM アクセス許可の推奨事項に従ってください。別の方法として、AWS マネージドポリシー AmazonS3FullAccess を使用することもできますが、このマネージドポリシーでは Mountpoint に必要以上のアクセス権限が付与されます。

次のコマンドで IAM 役割を作成して、その役割にマネージドポリシーをアタッチできます。マイクラスター をクラスターの名前に、地域コード を正しい AWS リージョンコードに、AmazonEKS_S3_CSI_DriverRole を役割の名前に、AmazonEKS_S3_CSI_DriverRole_ARN を役割 ARN に置き換えます。これらのコマンドを使用するにはデバイスに eksctl がインストールされている必要があります。IAM コンソールまたは AWS CLI を使用する手順については「ステップ 2: IAM ロールを作成する」を参照してください。

CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only

追加情報

アドオンの詳細については「Mountpoint for Amazon S3 CSI ドライバーを使用して Amazon S3 オブジェクトにアクセスする」を参照してください。

CSI スナップショットコントローラー

コンテナ・ストレージ・インターフェース (CSI) スナップショットコントローラーを使用すると、Amazon EBS CSI ドライバーなどの互換性のある CSI ドライバーのスナップショット機能を使用できます。

Amazon EKS アドオン名は snapshot-controller です。

必要な IAM 許可

このアドオンには許可は必要ありません。

追加情報

アドオンの詳細については「CSI ボリュームのためにスナップショット機能を有効にする」を参照してください。

Amazon SageMaker HyperPod タスクガバナンス

SageMaker HyperPod タスクガバナンスはリソースの割り当てを合理化し、Amazon EKS クラスターのチームやプロジェクト全体でコンピューティングリソースを効率的に活用できるように設計されています。これにより、管理者は次の設定を行うことができます。

  • さまざまなタスクの優先度

  • 各チームのコンピューティング割り当て

  • 各チームがアイドル状態のコンピューティングリソースを貸し借りする方法

  • チームが自らのタスクを先取りした場合

HyperPod タスクガバナンスは Amazon EKS クラスターオブザーバビリティも提供し、クラスター容量をリアルタイムで可視化します。これにはコンピューティングの可用性と使用状況、チームの割り当てと使用状況、タスクの実行と待機時間に関する情報が含まれ、情報に基づいた意思決定とプロアクティブなリソース管理のための設定を行います。

Amazon EKS アドオン名は amazon-sagemaker-hyperpod-taskgovernance です。

必要な IAM 許可

このアドオンには許可は必要ありません。

追加情報

アドオンの詳細についてはSageMaker HyperPod タスクガバナンス」を参照してください。

ネットワーク・フロー・モニター の AWS

Amazon CloudWatch ネットワーク・フロー・モニター エージェントはクラスター内のすべてのノードから TCP 接続統計を収集し、ネットワークフローレポートを Amazon CloudWatch ネットワーク・フロー・モニター 摂取 APIs。

Amazon EKS アドオン名は aws-network-flow-monitoring-agent です。

必要な IAM 許可

このアドオンには IAM 権限が必要です。

アドオンに CloudWatchNetworkFlowMonitorAgentPublishPolicy 管理ポリシーを添付する必要があります。

必要な IAM セットアップの詳細については Amazon CloudWatch ネットワーク・フロー・モニター エージェント GitHub リポジトリの「IAM ポリシー」を参照してください。

管理ポリシーの詳細については、Amazon CloudWatch ユーザーガイドの CloudWatchNetworkFlowMonitorAgentPublishPolicy を参照してください。

追加情報

アドオンの詳細については Amazon CloudWatch ネットワーク・フロー・モニター エージェント GitHub リポジトリを参照してください。

ノードモニタリングエージェント

ノードモニタリングエージェントの Amazon EKS アドオンは追加ノードヘルスの問題を検出できます。これらの追加のヘルスシグナルはオプションのノード自動修復機能でも活用でき、必要に応じてノードを自動的に置き換えることができます。

注記

このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については「Amazon EKS 自動モードl の考慮事項」を参照してください。

Amazon EKS アドオン名は eks-node-monitoring-agent です。

必要な IAM 許可

このアドオンに追加の許可は必要ありません。

追加情報

詳細については「ノードの自動修復を有効にし、ノードのヘルス問題を調査する」を参照してください。

AWS オープンテレメトリー用ディストロ

AWS オープンテレメトリー用ディストロ Amazon EKS アドオンは安全な本番環境対応の、AWS によってサポートされている オープンテレメトリー プロジェクトのディストリビューションです。詳細についてはGitHub で「AWS オープンテレメトリー用ディストロ」を参照してください。

Amazon EKS アドオン名は adot です。

必要な IAM 許可

このアドオンには詳細設定でオプトインできる事前設定されたカスタムリソースの 1 つを使用している場合のみ IAM 許可が必要です。

追加情報

詳細については、AWS Distro for OpenTelemetry ドキュメントの「Getting Started with AWS Distro for OpenTelemetry using EKS Add-Ons」を参照してください。

ADOT では前提条件として cert-manager アドオンがクラスターにデプロイされている必要があります。そうでなければ、https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest cluster_addons プロパティを使用して直接デプロイした場合、このアドオンは機能しません。その他の要件については、AWS Distro for OpenTelemetry ドキュメントの「Requirements for Getting Started with AWS Distro for OpenTelemetry using EKS Add-Ons」を参照してください。

Amazon GuardDuty エージェント

Amazon GuardDuty エージェント Amazon EKS アドオンでは、GuardDuty Runtime Monitoring による分析のために、EKS クラスターノードからランタイムイベント (ファイルアクセス、プロセス実行、ネットワーク接続) を収集します。GuardDuty 自体 (エージェントではない) は、AWS CloudTrail 管理イベントや Amazon VPC フローログなどの基本的なデータソースと、Kubernetes 監査ログやランタイムモニタリングなどの機能を分析して処理するセキュリティモニタリングサービスです。

Amazon EKS アドオン名は aws-guardduty-agent です。

必要な IAM 許可

このアドオンには許可は必要ありません。

追加情報

詳細については「Amazon GuardDuty における Amazon EKSクラスタのランタイム・モニタリング」を参照してください。

  • Amazon EKS クラスターで潜在的なセキュリティの脅威を検出するには Amazon GuardDuty ランタイムモニタリングを有効にし、ガードデューティ セキュリティエージェントを Amazon EKS クラスターにデプロイします。

Amazon CloudWatch 観測可能エージェント

Amazon CloudWatch 観測可能エージェント Amazon EKS アドオンはAWS が提供するモニタリングおよびオブザーバビリティサービスです。このアドオンは CloudWatch エージェントをインストールし、Amazon EKS のオブザーバビリティが強化された CloudWatch アプリケーションシグナルと CloudWatch コンテナインサイトの両方を有効にします。詳細については「Amazon CloudWatch エージェント」を参照してください。

Amazon EKS アドオン名は amazon-cloudwatch-observability です。

必要な IAM 許可

このアドオンはAmazon EKS のサービスアカウント用の IAM 役割機能を使用します。詳細については「サービスアカウントの IAM ロール」を参照してください。AWSXrayWriteOnlyAccessCloudWatchAgentServerPolicy AWS の管理ポリシーのパーミッションが必要です。次のコマンドで IAM ロールを作成し、それに管理ポリシーをアタッチして、アドオンが使用する Kubernetes サービスアカウントに注釈を付けることができます。マイクラスター をクラスターの名前に置き換え、AmazonEKS_Observability_role を役割の名前に置き換えます。このコマンドを使用するにはデバイスに eksctl がインストールされている必要があります。別のツールを使用してロールを作成し、ポリシーをアタッチして、Kubernetes サービスアカウントに注釈を付ける必要がある場合は、「IAM ロールを Kubernetes サービスアカウントに割り当てる」を参照してください。

eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve

追加情報

詳細については「CloudWatch エージェントのインストール」を参照してください。

AWS プライベート CA の Connector for Kubernetes

Kubernetes 用 AWS プライベート CA Connector は、ユーザーが AWS プライベート Certificate Authority (AWS プライベート CA) から証明書を取得できるようにする cert-manager のアドオンです。

  • Amazon EKS アドオン名は aws-privateca-connector-for-kubernetes です。

  • アドオン名前空間は aws-privateca-issuer です。

このアドオンには cert-manager が必要です。cert-manager はコミュニティアドオンとして Amazon EKS で使用できます。このアドオンの詳細については、「Cert Manager」を参照してください。アドオンのインストールに関する詳細については「Amazon EKS アドオンを作成する」を参照してください。

必要な IAM 許可

このアドオンには IAM 権限が必要です。

EKS Pod Identities を使用して AWSPrivateCAConnectorForKubernetesPolicy IAM ポリシーを aws-privateca-issuer Kubernetes サービスアカウントにアタッチします。詳細については、「Pod Identity を使用して Amazon EKS アドオンに IAM 役割を割り当てる」を参照してください。

必要な権限の詳細については、「AWS Managed Policy Reference」の「AWSPrivateCAConnectorForKubernetesPolicy」を参照してください。

追加情報

詳細については、AWS Private CA Issuer for Kubernetes GitHub リポジトリを参照してください。

アドオン設定の詳細については、aws-privateca-issuer GitHub リポジトリの「values.yaml」を参照してください。values.yaml のバージョンが、クラスターにインストールされているアドオンのバージョンと一致していることを確認します。

このアドオンは、EKS Auto Mode の system NodePool で使用される CriticalAddonsOnly テイントを許容します。詳細については、「ハードウェア専有インスタンスで重要なアドオンを実行する」を参照してください。

EKS Pod Identity エージェント

Amazon EKS Pod Identity Agent Amazon EKS アドオンはEC2 インスタンスプロファイルから EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能を提供します。

注記

このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。Amazon EKS 自動モード は EKS Pod Identity と統合されています。詳細については「Amazon EKS 自動モードl の考慮事項」を参照してください。

Amazon EKS アドオン名は eks-pod-identity-agent です。

必要な IAM 許可

Pod Identity Agent アドオン自体には IAM ロールは必要ありません。Amazon EKS ノードの IAM ロールからの許可を使用して機能しますが、アドオン専用の IAM ロールは必要ありません。

情報を更新する

一度に更新できるマイナーバージョンは 1 つのみです。例えば、現在のバージョンが 1.28.x-eksbuild.y で、これを 1.30.x-eksbuild.y に更新する場合は現在のバージョンを 1.29.x-eksbuild.y に更新してから、再度 1.30.x-eksbuild.y に更新する必要があります。アドオンの更新の詳細については「Amazon EKS アドオンを更新する」を参照してください。