**このページの改善にご協力ください** 

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「**GitHub でこのページを編集する**」リンクを選択してください。

# AWS アドオン
<a name="workloads-add-ons-available-eks"></a>

以下の Amazon EKS アドオンをクラスターで作成できます。`eksctl`、AWS マネジメントコンソール、または AWS CLI を使用して、使用可能なアドオンの最新リストを表示できます。使用可能なすべてのアドオンを確認したり、アドオンをインストールしたりするには[Amazon EKS アドオンを作成する](creating-an-add-on.md) を参照してください。アドオンが IAM アクセス権限を要求する場合、クラスター用に IAM OpenID Connect (OIDC) プロバイダーが必要です。既に存在しているかどうかを確認する、または作成するには、[クラスターの IAM OIDC プロバイダーを作成するには](enable-iam-roles-for-service-accounts.md) を参照してください。アドオンはインストール後に、作成または削除できます。詳細については、[Amazon EKS アドオンを更新する](updating-an-add-on.md) または [クラスターから Amazon EKS アドオンを削除する](removing-an-add-on.md) を参照してください。Amazon EKS Hybrid Nodes で EKS アドオンを実行する際の考慮事項の詳細については、[ハイブリッドノードのアドオンを構成する](hybrid-nodes-add-ons.md) を参照してください。

次の Amazon EKS アドオンのいずれかを使用できます。


| 説明 | 詳細情報 | 互換性のあるコンピューティングタイプ | 
| --- | --- | --- | 
| クラスターのためにネイティブ VPC ネットワークを提供する |  [Amazon VPC CNI Kubernetes用プラグイン](#add-ons-vpc-cni)  | EC2 | 
| Kubernetes クラスター DNS として機能する、フレキシブルで拡張可能な DNS サーバー |  [CoreDNS](#add-ons-coredns)  | EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes | 
| 各 Amazon EC2 ノードのネットワークルールを管理する |  [`Kube-proxy`](#add-ons-kube-proxy)  | EC2、EKS Hybrid Nodes | 
| クラスターのために Amazon EBS ストレージを提供する |  [Amazon EBS CSI ドライバー](#add-ons-aws-ebs-csi-driver)  | EC2 | 
| クラスターのために Amazon EFS ストレージを提供する |  [Amazon EFS CSI ドライバー](#add-ons-aws-efs-csi-driver)  | EC2、EKS 自動モード | 
| クラスターのために Amazon S3 ファイルストレージを提供する |  [Amazon EFS CSI ドライバー](#add-ons-aws-efs-csi-driver)  | EC2、EKS 自動モード | 
| クラスターに Amazon FSx for Lustre ストレージを提供する |  [Amazon FSx CSI ドライバー](#add-ons-aws-fsx-csi-driver)  | EC2、EKS 自動モード | 
| クラスターのために Amazon S3 ストレージを提供する |  [Mountpoint for Amazon S3 CSI ドライバー](#mountpoint-for-s3-add-on)  | EC2、EKS 自動モード | 
| 追加ノードのヘルス問題を検出する |  [ノードモニタリングエージェント](#add-ons-eks-node-monitoring-agent)  | EC2、EKS Hybrid Nodes | 
| Amazon EBS CSI ドライバーなどの互換性のある CSI ドライバーでスナップショット機能の使用を有効にする |  [CSI スナップショットコントローラー](#addons-csi-snapshot-controller)  | EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes | 
| SageMaker HyperPod タスクガバナンスは Amazon EKS クラスター内のチーム間のコンピューティングリソースの割り当てと使用状況を最適化し、タスクの優先順位付けとリソース共有の非効率性に対処します。 |  [Amazon SageMaker HyperPod タスクガバナンス](#addons-hyperpod)  | EC2、EKS 自動モード | 
| Amazon SageMaker HyperPod オブザーバビリティアドオンは、HyperPod クラスターの包括的なモニタリングおよびオブザーバビリティ機能を実現します。 |  [Amazon SageMaker HyperPod オブザーバビリティアドオン](#addons-hyperpod-observability)  | EC2、EKS 自動モード | 
| Amazon SageMaker HyperPod トレーニングオペレーターは、高度なスケジューリング機能とリソース管理機能を備えており、Amazon EKS クラスターで効率よく分散トレーニングを実施できます。 |  [Amazon SageMaker HyperPod トレーニングオペレーター](#addons-hyperpod-training-operator)  | EC2、EKS 自動モード | 
| Amazon SageMaker HyperPod 推論演算子は、リソース使用率とコスト効率を最適化して、高性能 AI 推論ワークロードのデプロイと管理を可能にします。 |  [Amazon SageMaker HyperPod 推論演算子](#addons-hyperpod-inference-operator)  | EC2、EKS 自動モード | 
| ネットワークフローデータを収集して Amazon CloudWatch に報告する Kubernetes エージェント。クラスターノード間の TCP 接続を包括的にモニタリングできます。 |  [ネットワーク・フロー・モニター の AWS](#addons-network-flow)  | EC2、EKS 自動モード | 
| オープンテレメトリー プロジェクトの、安全かつ本番に対応した、AWS によってサポートされているディストリビューション |  [AWS オープンテレメトリー用ディストロ](#add-ons-adot)  | EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes | 
| AWS CloudTrail 管理イベントや Amazon VPC フローログなどの基本的なデータソースを分析および処理するセキュリティモニタリングサービス。Amazon GuardDuty は、Kubernetes 監査ログやランタイムモニタリングなどの機能も処理します |  [Amazon GuardDuty エージェント](#add-ons-guard-duty)  | EC2、EKS 自動モード | 
| AWS によって提供されるモニタリングおよびオブザーバビリティサービス。このアドオンは CloudWatch エージェントをインストールし、Amazon EKS のオブザーバビリティが強化された CloudWatch アプリケーションシグナルと CloudWatch コンテナインサイトの両方を有効にします |  [Amazon CloudWatch 観測可能エージェント](#amazon-cloudwatch-observability)  | EC2、EKS 自動モード、EKS Hybrid Nodes | 
| EC2 インスタンスプロファイルから EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能。 |  [EKS Pod Identity エージェント](#add-ons-pod-id)  | EC2、EKS Hybrid Nodes | 
| cert-manager を有効にして、AWS プライベート CA から X.509 証明書を発行します。cert-manager が必要です。 |  [AWS プライベート CA の Connector for Kubernetes](#add-ons-aws-privateca-connector)  | EC2、Fargate、EKS 自動モード、EKS Hybrid Nodes | 
| SR-IOV ネットワークデバイスのパフォーマンスに関する Prometheus メトリクスを生成する |  [SR-IOV ネットワークメトリクスエクスポーター](#add-ons-sriov-network-metrics-exporter)  | EC2 | 
| AWS Secrets Manager からシークレットを取得し、AWS Systems Manager Parameter Store からパラメータを取得して、Kubernetes ポッドにファイルとしてマウントします。 |  [AWS Secrets Store CSI Driver プロバイダー](#add-ons-aws-secrets-store-csi-driver-provider)  | EC2、EKS 自動モード、EKS Hybrid Nodes | 
| Spaces を使用すると、JupyterLab および Code Editor アプリケーションを作成および管理して、インタラクティブな ML ワークロードを実行できます。 |  [Amazon SageMaker Spaces](#add-ons-amazon-sagemaker-spaces)  | HyperPod | 

## Amazon VPC CNI Kubernetes用プラグイン
<a name="add-ons-vpc-cni"></a>

Amazon VPC CNI Plugin for Kubernetes の Amazon EKS アドオンは、クラスターにネイティブ VPC ネットワークを提供する Kubernetes コンテナネットワークインターフェイス (CNI) プラグインです。このアドオンのセルフマネージドタイプまたはマネージドタイプが、デフォルトで各 Amazon EC2 ノードにインストールされます。詳細については「[Kubernetesコンテナネットワークインターフェース（CNI）プラグイン](https://kubernetes.io/docs/concepts/extend-kubernetes/compute-storage-net/network-plugins/)」を参照してください。

**注記**  
このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については、[Amazon EKS 自動モードの考慮事項](eks-add-ons.md#addon-consider-auto) を参照してください。

Amazon EKS アドオン名は `vpc-cni` です。

### 必要な IAM 許可
<a name="add-ons-vpc-cni-iam-permissions"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。

クラスターが `IPv4` ファミリーを使用する場合は[AmazonEKS\_CNI\_Policy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEKS_CNI_Policy.html) のアクセス権限が必要です。クラスターが `IPv6` ファミリーを使用する場合は [IPv6 モード](https://github.com/aws/amazon-vpc-cni-k8s/blob/master/docs/iam-policy.md#ipv6-mode) のアクセス許可を持つ [IAM ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を作成する必要があります。次のコマンドで、IAM ロールを作成し、そのロールにポリシーの 1 つをアタッチして、アドオンが使用する Kubernetes サービスアカウントに注釈を付けることができます。

{{マイクラスター}} をクラスターの名前に置き換え、{{AmazonEKSVPCCNIRole}} を役割の名前に置き換えます。クラスターが `IPv6` ファミリを使用する場合は{{AmazonEKS\_CNI\_Policy}} を作成したポリシーの名前に置き換えてください。このコマンドを使用するにはデバイスに [eksctl](https://eksctl.io) がインストールされている必要があります。別のツールを使用してロールを作成し、ポリシーをアタッチして、Kubernetes サービスアカウントに注釈を付ける必要がある場合は、「[IAM ロールを Kubernetes サービスアカウントに割り当てる](associate-service-account-role.md)」を参照してください。

```
eksctl create iamserviceaccount --name aws-node --namespace kube-system --cluster my-cluster --role-name AmazonEKSVPCCNIRole \
    --role-only --attach-policy-arn arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy --approve
```

### 情報を更新する
<a name="add-ons-vpc-cni-update-information"></a>

一度に更新できるマイナーバージョンは 1 つのみです。例えば、現在のバージョンが `1.28.{{x}}-eksbuild.{{y}} ` で、これを `1.30.{{x}}-eksbuild.{{y}} ` に更新する場合は現在のバージョンを `1.29.{{x}}-eksbuild.{{y}} ` に更新してから、再度 `1.30.{{x}}-eksbuild.{{y}} ` に更新する必要があります。アドオンの更新の詳細については「[Amazon VPC CNI を更新する (Amazon EKS アドオン)](vpc-add-on-update.md)」を参照してください。

## CoreDNS
<a name="add-ons-coredns"></a>

CoreDNS の Amazon EKS アドオンは、Kubernetes クラスター DNS として機能できる柔軟で拡張可能な DNS サーバーです。このアドオンのセルフマネージドタイプまたはマネージドタイプが、クラスターの作成時にデフォルトでインストールされました。少なくとも 1 つのノードで Amazon EKS クラスターを起動すると、クラスターにデプロイされたノード数に関係なく、デフォルトで CoreDNS イメージの 2 つのレプリカがデプロイされます。これらの CoreDNS ポッドは、クラスター内のすべてのポッドの名前解決を行います。クラスターに Fargate プロファイルが含まれ、名前空間が CoreDNS デプロイの名前空間と一致している場合、CoreDNS Pod を Fargate ノードにデプロイできます。詳細については、[起動時にどの Pod が AWS Fargate を使用するのかを定義する](fargate-profile.md) を参照してください。

**注記**  
このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については、[Amazon EKS 自動モードの考慮事項](eks-add-ons.md#addon-consider-auto) を参照してください。

Amazon EKS アドオン名は `coredns` です。

### 必要な IAM 許可
<a name="add-ons-coredns-iam-permissions"></a>

このアドオンには許可は必要ありません。

### 追加情報
<a name="add-ons-coredns-information"></a>

CoreDNS の詳細については、Kubernetes ドキュメントの「[サービスディスカバリーに CoreDNS を使用する](https://kubernetes.io/docs/tasks/administer-cluster/coredns/)」および「[Customizing DNS Service](https://kubernetes.io/docs/tasks/administer-cluster/dns-custom-nameservers/)」を参照してください。

## `Kube-proxy`
<a name="add-ons-kube-proxy"></a>

`Kube-proxy` Amazon EKS アドオンは各 Amazon EC2 ノードのネットワークルールを維持します。これにより、Pod とのネットワーク通信が可能になります。このアドオンのセルフマネージドタイプまたはマネージドタイプが、デフォルトでクラスター内の各 Amazon EC2 ノードにインストールされます。

**注記**  
このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については、[Amazon EKS 自動モードの考慮事項](eks-add-ons.md#addon-consider-auto) を参照してください。

Amazon EKS アドオン名は `kube-proxy` です。

### 必要な IAM 許可
<a name="add-ons-kube-proxy-iam-permissions"></a>

このアドオンには許可は必要ありません。

### 情報を更新する
<a name="add-ons-kube-proxy-update-information"></a>

現在のバージョンを更新する前に、次の要件を考慮してください:
+  Amazon EKS クラスターの `Kube-proxy` は[Kubernetes と同じ互換性およびスキューポリシー](https://kubernetes.io/releases/version-skew-policy/#kube-proxy)が適用されます。

### 追加情報
<a name="add-ons-kube-proxy-information"></a>

`kube-proxy` の詳細については、Kubernetes ドキュメントの「[kube-proxy](https://kubernetes.io/docs/reference/command-line-tools-reference/kube-proxy/)」を参照してください。

## Amazon EBS CSI ドライバー
<a name="add-ons-aws-ebs-csi-driver"></a>

Amazon EBS CSI ドライバーの Amazon EKS アドオンは、クラスター用に Amazon EBS ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

**注記**  
このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。自動モード にはブロックストレージ機能があります。詳細については、[ステートフルワークロードのサンプルを EKS Auto Mode にデプロイする](sample-storage-workload.md) を参照してください。

Amazon EKS アドオン名は `aws-ebs-csi-driver` です。

### 必要な IAM 許可
<a name="add-ons-aws-ebs-csi-driver-iam-permissions"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。このアドオンには、タグベースのスコープ用の [AmazonEBSCSIDriverPolicyV2](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicyV2.html)、クラスタースコープ分離用の [AmazonEBSCSIDriverEKSClusterScopedPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverEKSClusterScopedPolicy.html)、またはタグベースの制限が必要ない場合は [AmazonEBSCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEBSCSIDriverPolicy.html) のいずれかの AWS マネージドポリシーが必要です。次のコマンドで IAM ロールを作成して、それにマネージドポリシーをアタッチできます。{{マイクラスター}} をクラスターの名前に置き換え、{{AmazonEKS\_EBS\_CSI\_DriverRole}} を役割の名前に置き換えます。このコマンドを使用するにはデバイスに [eksctl](https://eksctl.io) がインストールされている必要があります。別のツールを使用する必要がある場合や、暗号化にカスタム [KMS キー](https://aws.amazon.com/kms/) を使用する必要がある場合は[ステップ 1: IAM ロールを作成する](ebs-csi.md#csi-iam-role) を参照してください。

`AmazonEBSCSIDriverPolicy` から移行する場合は、[EBS CSI ドライバーポリシーの移行](https://github.com/kubernetes-sigs/aws-ebs-csi-driver/issues/2918) を参照してください。

```
eksctl create iamserviceaccount \
    --name ebs-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_EBS_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicyV2 \
    --approve
```

### 追加情報
<a name="add-ons-aws-ebs-csi-driver-information"></a>

アドオンの詳細については、[Amazon EBS で Kubernetes ボリュームストレージを使用する](ebs-csi.md) を参照してください。

## Amazon EFS CSI ドライバー
<a name="add-ons-aws-efs-csi-driver"></a>

Amazon EFS CSI ドライバー Amazon EKS アドオンは、クラスター用に Amazon EFS と Amazon S3 Files ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

Amazon EKS アドオン名は `aws-efs-csi-driver` です。

### 必要な IAM 許可
<a name="add-ons-aws-efs-csi-driver-iam-permissions"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。

必要な特定の AWS マネージドポリシーは、使用するファイルシステムタイプによって異なります。
+  **Amazon EFS ファイルシステムのみ**: [AmazonEFSCSIDriverPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEFSCSIDriverPolicy.html) マネージドポリシーをアタッチします。
+  **Amazon S3 ファイルシステムのみ**: `AmazonS3FilesCSIDriverPolicy` マネージドポリシーをアタッチします。
+  **Amazon EFS と Amazon S3 ファイルシステムの両方の場合**: `AmazonEFSCSIDriverPolicy` と `AmazonS3FilesCSIDriverPolicy` の両方のマネージドポリシーをアタッチします。

次のコマンドで IAM ロールを作成して、その役割にマネージドポリシーをアタッチできます。{{マイクラスター}} をクラスターの名前に置き換え、{{AmazonEKS\_EFS\_CSI\_DriverRole}} を役割の名前に置き換えます。次の例では、Amazon EFS ファイルシステムの `AmazonEFSCSIDriverPolicy` をアタッチします。Amazon S3 ファイルシステムを使用している場合は、ポリシー ARN を ` arn:aws:iam::aws:policy/service-role/AmazonS3FilesCSIDriverPolicy` に置き換えます。両方のファイルシステムタイプを使用している場合は、2 番目のポリシー ARN で `--attach-policy-arn` フラグを追加します。これらのコマンドを使用するにはデバイスに [eksctl](https://eksctl.io) がインストールされている必要があります。別のツールを使用する必要がある場合は、Amazon EFS の場合は [ステップ 1: IAM ロールを作成する](efs-csi.md#efs-create-iam-resources)、Amazon S3 ファイルの場合は [ステップ 1: IAM ロールを作成する](s3files-csi.md#s3files-create-iam-resources) を参照してください。

```
export cluster_name=my-cluster
export role_name=AmazonEKS_EFS_CSI_DriverRole
eksctl create iamserviceaccount \
    --name efs-csi-controller-sa \
    --namespace kube-system \
    --cluster $cluster_name \
    --role-name $role_name \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/service-role/AmazonEFSCSIDriverPolicy \
    --approve
TRUST_POLICY=$(aws iam get-role --output json --role-name $role_name --query 'Role.AssumeRolePolicyDocument' | \
    sed -e 's/efs-csi-controller-sa/efs-csi-*/' -e 's/StringEquals/StringLike/')
aws iam update-assume-role-policy --role-name $role_name --policy-document "$TRUST_POLICY"
```

**注記**  
上記の例では、`efs-csi-controller-sa` のみを設定します。Amazon S3 ファイルシステムを使用している場合は、`efs-csi-node-sa` も設定する必要があります。S3 ファイル IAM のセットアップの詳細については、[ステップ 1: IAM ロールを作成する](s3files-csi.md#s3files-create-iam-resources) を参照してください。

### 追加情報
<a name="add-ons-aws-efs-csi-driver-information"></a>

アドオンの詳細については、[Amazon EFS で Elastic File System ストレージを使用する](efs-csi.md) を参照してください。

## Amazon FSx CSI ドライバー
<a name="add-ons-aws-fsx-csi-driver"></a>

Amazon FSx CSI ドライバー Amazon EKS アドオンは、クラスター用に Amazon FSx for Lustre ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

Amazon EKS アドオン名は `aws-fsx-csi-driver` です。

**注記**  
クラスターに既存の Amazon FSx CSI ドライバーをインストールすると、アドオンのインストールに失敗する可能性があります。EKS 以外の FSx CSI ドライバーが存在するところに Amazon EKS のアドオンバージョンをインストールしようとすると、リソースの競合によりインストールが失敗します。この問題を解決するには、インストール時に `OVERWRITE` フラグを使用します。  

  ```
  aws eks create-addon --addon-name aws-fsx-csi-driver --cluster-name my-cluster --resolve-conflicts OVERWRITE
  ```
Amazon FSx CSI Driver EKS アドオンは、EKS Pod Identity またはサービスアカウントの IAM ロール (IRSA) による認証をサポートしています。EKS Pod Identity を使用するには、FSx CSI Driver アドオンをデプロイする前後に Pod Identity エージェントをインストールします。詳細については、[Amazon EKS Pod Identity エージェントのセットアップ](pod-id-agent-setup.md) を参照してください。代わりに IRSA を使用するには、[クラスターの IAM OIDC プロバイダーを作成するには](enable-iam-roles-for-service-accounts.md) を参照してください。

### 必要な IAM 許可
<a name="add-ons-aws-fsx-csi-driver-iam-permissions"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。[AmazonFSxFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) AWS マネージドポリシーの許可が必要です。次のコマンドで IAM ロールを作成して、それにマネージドポリシーをアタッチできます。{{マイクラスター}} をクラスターの名前に置き換え、{{AmazonEKS\_FSx\_CSI\_}} をロールの名前に置き換えます。このコマンドを使用するにはデバイスに [eksctl](https://eksctl.io) がインストールされている必要があります。

```
eksctl create iamserviceaccount \
    --name fsx-csi-controller-sa \
    --namespace kube-system \
    --cluster my-cluster \
    --role-name AmazonEKS_FSx_CSI_DriverRole \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonFSxFullAccess \
    --approve
```

### 追加情報
<a name="add-ons-aws-fsx-csi-driver-information"></a>

アドオンの詳細については、[Amazon FSx for Lustre で高性能なアプリケーションストレージを使用する](fsx-csi.md) を参照してください。

## Mountpoint for Amazon S3 CSI ドライバー
<a name="mountpoint-for-s3-add-on"></a>

Mountpoint for Amazon S3 CSI ドライバーの Amazon EKS アドオンは、クラスター用に Amazon S3 ストレージを提供する Kubernetes Container Storage Interface (CSI) プラグインです。

Amazon EKS アドオン名は `aws-mountpoint-s3-csi-driver` です。

### 必要な IAM 許可
<a name="add-ons-mountpoint-for-s3-add-on-iam-permissions"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。

作成される IAM ロールには S3 へのアクセスを許可するポリシーが必要です。ポリシーを作成するときは [Mountpoint IAM アクセス許可の推奨事項](https://github.com/awslabs/mountpoint-s3/blob/main/doc/CONFIGURATION.md#iam-permissions) に従ってください。別の方法として、AWS マネージドポリシー[ AmazonS3FullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor) を使用することもできますが、このマネージドポリシーでは Mountpoint に必要以上のアクセス権限が付与されます。

次のコマンドで IAM ロールを作成して、その役割にマネージドポリシーをアタッチできます。{{my-cluster}} をクラスターの名前に、{{region-code}} を正しい AWS リージョンコードに、{{AmazonEKS\_S3\_CSI\_DriverRole}} を役割の名前に、{{AmazonEKS\_S3\_CSI\_DriverRole\_ARN}} を役割 ARN に置き換えます。これらのコマンドを使用するにはデバイスに [eksctl](https://eksctl.io) がインストールされている必要があります。IAM コンソールまたは AWS CLI を使用する手順については「[ステップ 2: IAM ロールを作成する](s3-csi-create.md#s3-create-iam-role)」を参照してください。

```
CLUSTER_NAME=my-cluster
REGION=region-code
ROLE_NAME=AmazonEKS_S3_CSI_DriverRole
POLICY_ARN=AmazonEKS_S3_CSI_DriverRole_ARN
eksctl create iamserviceaccount \
    --name s3-csi-driver-sa \
    --namespace kube-system \
    --cluster $CLUSTER_NAME \
    --attach-policy-arn $POLICY_ARN \
    --approve \
    --role-name $ROLE_NAME \
    --region $REGION \
    --role-only
```

### 追加情報
<a name="add-ons-mountpoint-for-s3-add-on-information"></a>

アドオンの詳細については、[Mountpoint for Amazon S3 CSI ドライバーを使用して Amazon S3 オブジェクトにアクセスする](s3-csi.md) を参照してください。

## CSI スナップショットコントローラー
<a name="addons-csi-snapshot-controller"></a>

コンテナ・ストレージ・インターフェース (CSI) スナップショットコントローラーを使用すると、Amazon EBS CSI ドライバーなどの互換性のある CSI ドライバーのスナップショット機能を使用できます。

Amazon EKS アドオン名は `snapshot-controller` です。

### 必要な IAM 許可
<a name="add-ons-csi-snapshot-controller-iam-permissions"></a>

このアドオンには許可は必要ありません。

### 追加情報
<a name="add-ons-csi-snapshot-controller-information"></a>

アドオンの詳細については、[CSI ボリュームのためにスナップショット機能を有効にする](csi-snapshot-controller.md) を参照してください。

## Amazon SageMaker HyperPod タスクガバナンス
<a name="addons-hyperpod"></a>

SageMaker HyperPod タスクガバナンスはリソースの割り当てを合理化し、Amazon EKS クラスターのチームやプロジェクト全体でコンピューティングリソースを効率的に活用できるように設計されています。これにより、管理者は次の設定を行うことができます。
+ さまざまなタスクの優先度
+ 各チームのコンピューティング割り当て
+ 各チームがアイドル状態のコンピューティングリソースを貸し借りする方法
+ チームが自らのタスクを先取りした場合

HyperPod タスクガバナンスは Amazon EKS クラスターオブザーバビリティも提供し、クラスター容量をリアルタイムで可視化します。これにはコンピューティングの可用性と使用状況、チームの割り当てと使用状況、タスクの実行と待機時間に関する情報が含まれ、情報に基づいた意思決定とプロアクティブなリソース管理のための設定を行います。

Amazon EKS アドオン名は `amazon-sagemaker-hyperpod-taskgovernance` です。

### 必要な IAM 許可
<a name="_required_iam_permissions"></a>

このアドオンには許可は必要ありません。

### 追加情報
<a name="_additional_information"></a>

アドオンの詳細については[SageMaker HyperPod タスクガバナンス](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-operate-console-ui-governance.html)」を参照してください。

## Amazon SageMaker HyperPod オブザーバビリティアドオン
<a name="addons-hyperpod-observability"></a>

Amazon SageMaker HyperPod Observability アドオンは、HyperPod クラスターの包括的なモニタリングおよびオブザーバビリティ機能を実現します。このアドオンは、ノードエクスポーター、DCGM エクスポーター、kube-state-metrics、EFA エクスポーターなどの重要なモニタリングコンポーネントを自動的にデプロイおよび管理します。メトリクスを収集して顧客指定の Amazon Managed Prometheus (AMP) インスタンスに転送し、顧客のトレーニングジョブからカスタムメトリクスおよびイベント取り込み用の OTLP エンドポイントを公開します。

アドオンは、HyperPod Task Governance アドオン、HyperPod Training Operator、Kubeflow、KEDA などのさまざまなコンポーネントからメトリクスをスクレイピングすることで、より広範な HyperPod エコシステムに統合されます。収集されたすべてのメトリクスは Amazon Managed Prometheus で一元化され、顧客は Amazon Managed Grafana ダッシュボードを通じて統一されたオブザーバビリティビューを実現できます。HyperPod 環境全体でクラスターの状態、リソース使用率、トレーニングジョブのパフォーマンスをエンドツーエンドで可視化できるようになります。

Amazon EKS アドオン名は `amazon-sagemaker-hyperpod-observability` です。

### 必要な IAM 許可
<a name="_required_iam_permissions_2"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。次のマネージドポリシーが必要です。
+  `AmazonPrometheusRemoteWriteAccess` – クラスターから AMP へのリモート書き込みメトリクスの場合
+  `CloudWatchAgentServerPolicy` – クラスターから CloudWatch へのログのリモート書き込みの場合

### 追加情報
<a name="_additional_information_2"></a>

アドオンおよびその機能の詳細については、「[SageMaker HyperPod のオブザーバビリティ](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-observability-cluster.html)」を参照してください。

## Amazon SageMaker HyperPod トレーニングオペレーター
<a name="addons-hyperpod-training-operator"></a>

Amazon SageMaker HyperPod トレーニングオペレーターでは、大規模な GPU クラスター全体で分散トレーニングを効率的に管理することで、生成 AI モデルを迅速に開発できます。インテリジェントな障害復旧、ハングしたジョブの検出、プロセスレベルの管理機能が導入されており、トレーニングの中断を最小限に抑え、コストを削減できます。障害発生時にジョブを完全に再起動しなければならない従来のトレーニングインフラストラクチャとは異なり、このオペレーターは外科的なプロセス復旧を実装してトレーニングジョブを円滑に実行し続けます。

また、HyperPod のヘルスモニタリング機能およびオブザーバビリティ機能と連携して、トレーニングの実行と重要なメトリクス (損失の急増やスループットの低下など) の自動モニタリングをリアルタイムに可視化します。コード変更が不要なシンプルな YAML 設定を利用して復旧ポリシーを定義できるため、回復不能なトレーニング状態にすばやく対応して復旧させることができます。こうしたモニタリング機能と復旧機能が連携して、運用上のオーバーヘッドを最小限に抑えながら、最適なトレーニングパフォーマンスを維持します。

Amazon EKS アドオン名は `amazon-sagemaker-hyperpod-training-operator` です。

詳細については、「*Amazon SageMaker デベロッパーガイド*」の「[HyperPod トレーニングオペレーターの使用](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator.html)」を参照してください。

### 必要な IAM 許可
<a name="_required_iam_permissions_3"></a>

このアドオンでは、IAM アクセス許可が必須であり、EKS Pod Identity を使用します。

 AWS では、`AmazonSageMakerHyperPodTrainingOperatorAccess`[マネージドポリシー](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonSageMakerHyperPodTrainingOperatorAccess.html) を推奨しています。

詳細については、「*Amazon SageMaker 開発者ガイド*」の「[Installing the training operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator-install.html#sagemaker-eks-operator-install-operator)」を参照してください。

### 追加情報
<a name="_additional_information_3"></a>

アドオンの詳細については、「[SageMaker HyperPod training operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-eks-operator.html)」を参照してください。

## Amazon SageMaker HyperPod 推論演算子
<a name="addons-hyperpod-inference-operator"></a>

Amazon SageMaker HyperPod は、インタラクティブな実験やトレーニングから推論やトレーニング後のワークフローまで、AI 開発のライフサイクル全体をサポートするエンドツーエンドのエクスペリエンスを実現します。Kubernetes の柔軟性とマネージドエクスペリエンスの運用上の優位性を組み合わせた包括的な推論プラットフォームを提供します。モデルライフサイクル全体で同じ HyperPod コンピューティングを使用して、エンタープライズグレードの信頼性で生成 AI モデルをデプロイ、スケーリング、最適化できます。

Amazon SageMaker HyperPod は、kubectl、Python SDK、Amazon SageMaker Studio UI、HyperPod CLI など、複数の方法でモデルをデプロイできる柔軟なデプロイインターフェイスを提供します。この機能は、需要に基づいて自動的に調整される動的リソース割り当てを備えた高度なオートスケーリング機能を提供します。さらに、パフォーマンスを最適化するために time-to-first-token、GPU 使用率などの重要なメトリクスを追跡する包括的なオブザーバビリティとモニタリング機能を提供しています。

Amazon EKS アドオン名は `amazon-sagemaker-hyperpod-inference` です。

### インストール方法
<a name="_installation_methods"></a>

このアドオンをインストールするには、次のいずれかの方法を使用します。
+  **SageMaker コンソール (推奨)**: ガイド付き設定で効率的なインストールエクスペリエンスを提供します。
+  **EKS アドオンコンソールまたは CLI**: 推論演算子をインストールする前に、依存関係アドオンを手動でインストールする必要があります。必要な依存関係については、以下の前提条件セクションを参照してください。

### 前提条件
<a name="_prerequisites"></a>

EKS アドオンコンソールまたは CLI を使用して推論演算子アドオンをインストールする前に、次の依存関係がインストールされていることを確認してください。

必要な EKS アドオン:
+ Amazon S3 Mountpoint CSI ドライバー (最小バージョン: v1.14.1-eksbuild.1)
+ Metrics Server (最小バージョン: v0.7.2-eksbuild.4)
+ Amazon FSx CSI ドライバー (最小バージョン: v1.6.0-eksbuild.1)
+ Cert Manager (最小バージョン: v1.18.2-eksbuild.2)

各依存関係のインストール手順の詳細については、「[Installing the inference operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html)」を参照してください。

### 必要な IAM 許可
<a name="_required_iam_permissions_4"></a>

このアドオンは IAM アクセス許可を必要とし、OIDC/IRSA を使用します。

以下のマネージドポリシーは、最小範囲のアクセス許可を提供するため、使用が推奨されます。
+  `AmazonSageMakerHyperPodInferenceAccess` – 推論演算子の設定に必要な管理者権限を提供します
+  `AmazonSageMakerHyperPodGatedModelAccess` – SageMaker Jumpstart (Meta Llama、GPT-Neo など) でゲート付きモデルへのアクセスを SageMaker HyperPod に提供します

詳細については、「[Installing the inference operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html)」を参照してください。

### 追加情報
<a name="_additional_information_4"></a>

Amazon SageMaker HyperPod 推論演算子の詳細については、「[SageMaker HyperPod inference operator](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment.html)」を参照してください。

トラブルシューティングの詳細については、「[Troubleshooting SageMaker HyperPod model deployment](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-ts.html)」を参照してください。

## ネットワーク・フロー・モニター の AWS
<a name="addons-network-flow"></a>

Amazon CloudWatch ネットワーク・フロー・モニター エージェントはクラスター内のすべてのノードから TCP 接続統計を収集し、ネットワークフローレポートを Amazon CloudWatch ネットワーク・フロー・モニター 摂取 APIs。

Amazon EKS アドオン名は `aws-network-flow-monitoring-agent` です。

### 必要な IAM 許可
<a name="_required_iam_permissions_5"></a>

このアドオンには IAM 権限が必要です。

アドオンに `CloudWatchNetworkFlowMonitorAgentPublishPolicy` マネージドポリシーを添付する必要があります。

必要な IAM セットアップの詳細については Amazon CloudWatch ネットワーク・フロー・モニター エージェント GitHub リポジトリの[「IAM ポリシー](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file#iam-policy)」を参照してください。

マネージドポリシーの詳細については、Amazon CloudWatch ユーザーガイドの [CloudWatchNetworkFlowMonitorAgentPublishPolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/security-iam-awsmanpol-network-flow-monitor.html#security-iam-awsmanpol-CloudWatchNetworkFlowMonitorAgentPublishPolicy) を参照してください。

### 追加情報
<a name="_additional_information_5"></a>

アドオンの詳細については [Amazon CloudWatch ネットワーク・フロー・モニター エージェント GitHub リポジトリ](https://github.com/aws/network-flow-monitor-agent?tab=readme-ov-file)を参照してください。

## ノードモニタリングエージェント
<a name="add-ons-eks-node-monitoring-agent"></a>

ノードモニタリングエージェントの Amazon EKS アドオンは追加ノードヘルスの問題を検出できます。これらの追加のヘルスシグナルはオプションのノード自動修復機能でも活用でき、必要に応じてノードを自動的に置き換えることができます。

**注記**  
このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。詳細については、[Amazon EKS 自動モードの考慮事項](eks-add-ons.md#addon-consider-auto) を参照してください。

Amazon EKS アドオン名は `eks-node-monitoring-agent` です。

### 必要な IAM 許可
<a name="add-ons-eks-node-monitoring-agent-iam-permissions"></a>

このアドオンに追加の許可は必要ありません。

### 追加情報
<a name="add-ons-eks-node-monitoring-agent-information"></a>

詳細については、[ノードのヘルス問題を検出し、自動ノード修復を有効にする](node-health.md) を参照してください。

## AWS オープンテレメトリー用ディストロ
<a name="add-ons-adot"></a>

AWS オープンテレメトリー用ディストロ Amazon EKS アドオンは安全な本番環境対応の、AWS によってサポートされている オープンテレメトリー プロジェクトのディストリビューションです。詳細についてはGitHub で「[AWS オープンテレメトリー用ディストロ](https://aws-otel.github.io/)」を参照してください。

Amazon EKS アドオン名は `adot` です。

### 必要な IAM 許可
<a name="add-ons-adot-iam-permissions"></a>

このアドオンには詳細設定でオプトインできる事前設定されたカスタムリソースの 1 つを使用している場合のみ IAM 許可が必要です。

### 追加情報
<a name="add-ons-adot-information"></a>

詳細については、AWS Distro for OpenTelemetry ドキュメントの「[Getting Started with AWS Distro for OpenTelemetry using EKS Add-Ons](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on)」を参照してください。

ADOT では前提条件として `cert-manager` アドオンがクラスターにデプロイされている必要があります。そうでなければ、https://registry.terraform.io/modules/terraform-aws-modules/eks/aws/latest `cluster_addons` プロパティを使用して直接デプロイした場合、このアドオンは機能しません。その他の要件については、AWS Distro for OpenTelemetry ドキュメントの「[Requirements for Getting Started with AWS Distro for OpenTelemetry using EKS Add-Ons](https://aws-otel.github.io/docs/getting-started/adot-eks-add-on/requirements)」を参照してください。

## Amazon GuardDuty エージェント
<a name="add-ons-guard-duty"></a>

Amazon GuardDuty エージェント Amazon EKS アドオンでは、GuardDuty ランタイムモニタリングによる分析のために、EKS クラスターノードから[ランタイムイベント](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-collected-events.html) (ファイルアクセス、プロセス実行、ネットワーク接続) を収集します。GuardDuty 自体 (エージェントではない) は、AWS CloudTrail 管理イベントや Amazon VPC フローログなどの[基本的なデータソース](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_data-sources.html)と、Kubernetes 監査ログやランタイムモニタリングなどの[機能](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty-features-activation-model.html)を分析して処理するセキュリティモニタリングサービスです。

Amazon EKS アドオン名は `aws-guardduty-agent` です。

### 必要な IAM 許可
<a name="add-ons-guard-duty-iam-permissions"></a>

このアドオンには許可は必要ありません。

### 追加情報
<a name="add-ons-guard-duty-information"></a>

詳細については「[Amazon GuardDuty における Amazon EKSクラスタのランタイムモニタリング](https://docs.aws.amazon.com/guardduty/latest/ug/how-runtime-monitoring-works-eks.html)」を参照してください。
+ Amazon EKS クラスターで潜在的なセキュリティの脅威を検出するには Amazon GuardDuty ランタイムモニタリングを有効にし、ガードデューティ セキュリティエージェントを Amazon EKS クラスターにデプロイします。

## Amazon CloudWatch 観測可能エージェント
<a name="amazon-cloudwatch-observability"></a>

Amazon CloudWatch 観測可能エージェント Amazon EKS アドオンはAWS が提供するモニタリングおよびオブザーバビリティサービスです。このアドオンは CloudWatch エージェントをインストールし、Amazon EKS のオブザーバビリティが強化された CloudWatch アプリケーションシグナルと CloudWatch コンテナインサイトの両方を有効にします。詳細については「[Amazon CloudWatch エージェント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/Install-CloudWatch-Agent.html)」を参照してください。

Amazon EKS アドオン名は `amazon-cloudwatch-observability` です。

### 必要な IAM 許可
<a name="amazon-cloudwatch-observability-iam-permissions"></a>

このアドオンはAmazon EKS のサービスアカウント用の IAM ロール機能を使用します。詳細については、[サービスアカウントの IAM ロール](iam-roles-for-service-accounts.md) を参照してください。[AWSXrayWriteOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess) と [CloudWatchAgentServerPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy) AWS のマネージドポリシーのパーミッションが必要です。次のコマンドで IAM ロールを作成し、それにマネージドポリシーをアタッチして、アドオンが使用する Kubernetes サービスアカウントに注釈を付けることができます。{{マイクラスター}} をクラスターの名前に置き換え、{{AmazonEKS\_Observability\_role}} を役割の名前に置き換えます。このコマンドを使用するにはデバイスに [eksctl](https://eksctl.io) がインストールされている必要があります。別のツールを使用してロールを作成し、ポリシーをアタッチして、Kubernetes サービスアカウントに注釈を付ける必要がある場合は、「[IAM ロールを Kubernetes サービスアカウントに割り当てる](associate-service-account-role.md)」を参照してください。

```
eksctl create iamserviceaccount \
    --name cloudwatch-agent \
    --namespace amazon-cloudwatch \
    --cluster my-cluster \
    --role-name AmazonEKS_Observability_Role \
    --role-only \
    --attach-policy-arn arn:aws:iam::aws:policy/AWSXrayWriteOnlyAccess \
    --attach-policy-arn arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy \
    --approve
```

### 追加情報
<a name="amazon-cloudwatch-observability-information"></a>

詳細については「[CloudWatch エージェントのインストール](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Observability-EKS-addon.html)」を参照してください。

## AWS プライベート CA の Connector for Kubernetes
<a name="add-ons-aws-privateca-connector"></a>

Kubernetes 用 AWS プライベート CA Connector は、ユーザーが AWS プライベート Certificate Authority (AWS プライベート CA) から証明書を取得できるようにする cert-manager のアドオンです。
+ Amazon EKS アドオン名は `aws-privateca-connector-for-kubernetes` です。
+ アドオン名前空間は `aws-privateca-issuer` です。

このアドオンには `cert-manager` が必要です。`cert-manager` はコミュニティアドオンとして Amazon EKS で使用できます。このアドオンの詳細については、「[Cert Manager](community-addons.md#addon-cert-manager)」を参照してください。アドオンのインストールに関する詳細については、[Amazon EKS アドオンを作成する](creating-an-add-on.md) を参照してください。

### 必要な IAM 許可
<a name="add-ons-aws-privateca-connector-iam-permissions"></a>

このアドオンには IAM 権限が必要です。

EKS Pod Identities を使用して `AWSPrivateCAConnectorForKubernetesPolicy` IAM ポリシーを `aws-privateca-issuer` Kubernetes サービスアカウントにアタッチします。詳細については、[Pod Identity を使用して Amazon EKS アドオンに IAM 役割を割り当てる](update-addon-role.md) を参照してください。

必要な権限の詳細については、「AWS マネージドポリシーのリファレンス」の「[AWSPrivateCAConnectorForKubernetesPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAConnectorForKubernetesPolicy.html)」を参照してください。

### 追加情報
<a name="add-ons-aws-privateca-connector-information"></a>

詳細については、[AWS Private CA Issuer for Kubernetes GitHub リポジトリ](https://github.com/cert-manager/aws-privateca-issuer)を参照してください。

アドオン設定の詳細については、`aws-privateca-issuer` GitHub リポジトリの「[values.yaml](https://github.com/cert-manager/aws-privateca-issuer/blob/main/charts/aws-pca-issuer/values.yaml)」を参照してください。values.yaml のバージョンが、クラスターにインストールされているアドオンのバージョンと一致していることを確認します。

このアドオンは、EKS Auto Mode の `system` NodePool で使用される `CriticalAddonsOnly` テイントを許容します。詳細については、[ハードウェア専有インスタンスで重要なアドオンを実行する](critical-workload.md) を参照してください。

## EKS Pod Identity エージェント
<a name="add-ons-pod-id"></a>

Amazon EKS Pod Identity Agent Amazon EKS アドオンはEC2 インスタンスプロファイルから EC2 インスタンスに認証情報を提供する場合と同じような方法で、アプリケーションの認証情報を管理する機能を提供します。

**注記**  
このアドオンを Amazon EKS 自動モード クラスターにインストールする必要はありません。Amazon EKS 自動モード は EKS Pod Identity と統合されています。詳細については、[Amazon EKS 自動モードの考慮事項](eks-add-ons.md#addon-consider-auto) を参照してください。

Amazon EKS アドオン名は `eks-pod-identity-agent` です。

### 必要な IAM 許可
<a name="add-ons-pod-id-iam-permissions"></a>

Pod Identity Agent アドオン自体には IAM ロールは必要ありません。[Amazon EKS ノードの IAM ロール](create-node-role.md)からの許可を使用して機能しますが、アドオン専用の IAM ロールは必要ありません。

### 情報を更新する
<a name="add-ons-pod-id-update-information"></a>

一度に更新できるマイナーバージョンは 1 つのみです。例えば、現在のバージョンが `1.28.x-eksbuild.y` で、これを `1.30.x-eksbuild.y` に更新する場合は現在のバージョンを `1.29.x-eksbuild.y` に更新してから、再度 `1.30.x-eksbuild.y` に更新する必要があります。アドオンの更新の詳細については「[Amazon EKS アドオンを更新する](updating-an-add-on.md)」を参照してください。

## SR-IOV ネットワークメトリクスエクスポーター
<a name="add-ons-sriov-network-metrics-exporter"></a>

SR-IOV ネットワークメトリクスエクスポーターの Amazon EKS アドオンは、SR-IOV ネットワークデバイスに関するメトリクスを Prometheus 形式で収集して公開します。これにより、EKS ベアメタルノードの SR-IOV ネットワークパフォーマンスをモニタリングできます。エクスポーターは、SR-IOV 対応のネットワークインターフェイスを持つノードで DaemonSet として動作し、Prometheus でスクレイピングできるメトリクスをエクスポートします。

**注記**  
このアドオンには、SR-IOV 対応のネットワークインターフェイスを持つノードが必要です。


| プロパティ | 値 | 
| --- | --- | 
| アドオン名 |  `sriov-network-metrics-exporter`  | 
| 名前空間 |  `monitoring`  | 
| ドキュメント |  [SR-IOV ネットワークメトリクスエクスポーター GitHub リポジトリ](https://github.com/k8snetworkplumbingwg/sriov-network-metrics-exporter)  | 
| サービスアカウント名 | なし | 
| マネージド IAM ポリシー | なし | 
| カスタム IAM 許可 | なし | 

### AWS Secrets Store CSI Driver プロバイダー
<a name="add-ons-aws-secrets-store-csi-driver-provider"></a>

Secrets Store CSI Driver 用の AWS プロバイダーは、AWS Secrets Manager からシークレットを、AWS Systems Manager Parameter Store からパラメータを取得し、Kubernetes ポッドにファイルとしてマウントできるようにするアドオンです。

### 必要な IAM 許可
<a name="add-ons-ascp-iam-permissions"></a>

このアドオンには IAM 許可は必要ありません。ただし、アプリケーションポッドには、AWS Secrets Manager からシークレットを、AWS Systems Manager Parameter Store からパラメータを取得するための IAM 許可が必要です。アドオンをインストールしたら、サービスアカウントの IAM ロール (IRSA) または EKS Pod Identity を介してアクセスを設定する必要があります。IRSA を使用するには、Secrets Manager の [IRSA セットアップドキュメント](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating_ascp_irsa.html)を参照してください。EKS Pod Identity を使用するには、Secrets Manager の [Pod Identity セットアップドキュメント](https://docs.aws.amazon.com/secretsmanager/latest/userguide/ascp-pod-identity-integration.html)を参照してください。

 AWS では、`AWSSecretsManagerClientReadOnlyAccess`[マネージドポリシー](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-policies.html#security-iam-awsmanpol-AWSSecretsManagerClientReadOnlyAccess) を推奨しています。

必要な許可の詳細については、「AWS マネージドポリシーのリファレンス」の「`AWSSecretsManagerClientReadOnlyAccess`」を参照してください。

### 追加情報
<a name="_additional_information_6"></a>

詳細については、secrets-store-csi-driver-provider-aws [GitHub リポジトリ](https://github.com/aws/secrets-store-csi-driver-provider-aws)を参照してください。

アドオンの詳細については、[アドオンに関する AWS Secrets Manager ドキュメント](https://docs.aws.amazon.com/secretsmanager/latest/userguide/ascp-eks-installation.html)を参照してください。

## Amazon SageMaker Spaces
<a name="add-ons-amazon-sagemaker-spaces"></a>

Amazon SageMaker Spaces アドオンは、EKS クラスターまたは HyperPod-EKS クラスターで IDE とノートブックを実行する機能を提供します。管理者は EKS コンソールを使用してクラスターにアドオンをインストールし、イメージ、コンピューティングリソース、ノートブック設定用のローカルストレージ (スペースにアタッチされる追加ストレージ)、ファイルシステム、初期化スクリプトなどのデフォルトのスペース設定を定義できます。

AI 開発者は kubectl を使用してスペースを作成、更新、削除できます。管理者が提供するデフォルト設定を使用することも、設定をカスタマイズすることもできます。AI 開発者は、ローカルの VS Code IDE や、管理者が設定したカスタム DNS ドメインで JupyterLab または CodeEditor IDE をホストするウェブブラウザを使用して、EKS または HyperPod-EKS 上のスペースにアクセスできます。また、kubernetes のポート転送機能を使用して、ウェブブラウザからスペースにアクセスすることもできます。

Amazon EKS アドオン名は `amazon-sagemaker-spaces` です。

### 必要な IAM 許可
<a name="_required_iam_permissions_6"></a>

このアドオンには IAM 権限が必要です。必要な IAM セットアップの詳細については、「*Amazon SageMaker デベロッパーガイド*」の「[IAM 許可のセットアップ](https://docs.aws.amazon.com/sagemaker/latest/dg/permission-setup.html)」を参照してください。

### 追加情報
<a name="_additional_information_7"></a>

アドオンとその機能の詳細については、「*Amazon SageMaker デベロッパーガイド*」の「[HyperPod 上の SageMaker AI ノートブック](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-eks-cluster-ide.html)」を参照してください。