翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM ポリシー
<a name="iam-policies"></a>

インスタンスロールをノードグループにアタッチできます。ノードで実行されているワークロードは、ノードから IAM アクセス許可を受け取ります。mroe の詳細については、[Amazon EC2 の IAM ロール](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)」を参照してください。

このページには、eksctl で使用できる事前定義された IAM ポリシーテンプレートが一覧表示されます。これらのテンプレートは、カスタム IAM ポリシーを手動で作成することなく、EKS ノードに適切な AWS サービスアクセス許可を付与するプロセスを簡素化します。

## サポートされている IAM アドオンポリシー
<a name="_supported_iam_add_on_policies"></a>

サポートされているすべてのアドオンポリシーの例:

```
nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true
```

### Image Builder ポリシー
<a name="_image_builder_policy"></a>

この`imageBuilder`ポリシーでは、ECR (Elastic Container Registry) へのフルアクセスを許可します。これは、イメージを ECR にプッシュする必要がある CI サーバーを構築する場合などに便利です。

### EBS ポリシー
<a name="_ebs_policy"></a>

この`ebs`ポリシーは、新しい EBS CSI (Elastic Block Store Container Storage Interface) ドライバーを有効にします。

### Cert Manager ポリシー
<a name="_cert_manager_policy"></a>

この`certManager`ポリシーにより、DNS01 チャレンジを解決するために Route 53 にレコードを追加できます。詳細については、[こちら](https://cert-manager.io/docs/configuration/acme/dns01/route53/#set-up-a-iam-role)を参照してください。

## カスタムインスタンスロールの追加
<a name="_adding_a_custom_instance_role"></a>

この例では、別のクラスターから既存の IAM インスタンスロールを再利用するノードグループを作成します。

```
apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"
```

## インラインポリシーのアタッチ
<a name="_attaching_inline_policies"></a>

```
nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'
```

## ARN によるポリシーのアタッチ
<a name="_attaching_policies_by_arn"></a>

```
nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryPullOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
```

**警告**  
ノードグループに が含まれている`attachPolicyARNs`場合、`AmazonEC2ContainerRegistryPullOnly`この例では `AmazonEKSWorkerNodePolicy``AmazonEKS_CNI_Policy`や などのデフォルトのノードポリシーも含め**る必要があります**。