**このページの改善にご協力ください**
このユーザーガイドに貢献するには、すべてのページの右側のペインにある「**GitHub でこのページを編集する**」リンクを選択してください。
# アクセスポリシーアクセス許可を確認する
アクセスポリシーには、Kubernetes `verbs` (アクセス許可) と `resources` を含む `rules` が含まれます。アクセスポリシーには IAM のアクセス許可やリソースは含まれません。Kubernetes `Role` および `ClusterRole` オブジェクトと同様に、アクセスポリシーには `allow` `rules` のみが含まれます。アクセスポリシーの内容は変更できません。独自のアクセスポリシーを作成することはできません。アクセスポリシーのアクセス許可がニーズに合わない場合は、Kubernetes RBAC オブジェクトを作成し、アクセスエントリの*グループ名*を指定します。詳細については、「[アクセスエントリを作成する](creating-access-entries.md)」を参照してください。アクセスポリシーに含まれるアクセス許可は、Kubernetes ユーザー向けのクラスターロールのアクセス許可と似ています。詳細については、Kubernetes ドキュメントの「[ユーザー向け Role](https://kubernetes.io/docs/reference/access-authn-authz/rbac/#user-facing-roles)」を参照してください。
## すべてのポリシーをリストする
このページに記載されているいずれかのアクセスポリシーを使用するか、AWS CLI を使用して使用可能なすべてのアクセスポリシーのリストを取得します。
```
aws eks list-access-policies
```
予想される出力は次のようになります (簡潔にするために省略しています)。
```
{
"accessPolicies": [
{
"name": "AmazonAIOpsAssistantPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonAIOpsAssistantPolicy"
},
{
"name": "AmazonARCRegionSwitchScalingPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonARCRegionSwitchScalingPolicy"
},
{
"name": "AmazonEKSAdminPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy"
},
{
"name": "AmazonEKSAdminViewPolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy"
},
{
"name": "AmazonEKSAutoNodePolicy",
"arn": "arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy"
}
// Additional policies omitted
]
}
```
## AmazonEKSAdminPolicy
このアクセスポリシーには、リソースに対するほとんどのアクセス許可を IAM プリンシパルに付与するアクセス許可が含まれています。アクセスエントリに関連付けられている場合、そのアクセス範囲は通常 1 つ以上の Kubernetes 名前空間です。IAM プリンシパルにクラスター上のすべてのリソースへの管理者アクセスを許可する場合は、代わりに [AmazonEKSClusterAdminPolicy](#access-policy-permissions-amazoneksclusteradminpolicy) アクセスポリシーをアクセスエントリに関連付けてください。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminPolicy`
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞(許可) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `authorization.k8s.io` | `localsubjectaccessreviews` | `create` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| `rbac.authorization.k8s.io` | `rolebindings`, `roles` | `create`, `delete`, `deletecollection`, `get`, `list`, `patch`, `update`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `serviceaccounts` | `impersonate` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
## AmazonEKSClusterAdminPolicy
このアクセスポリシーには、IAM プリンシパル管理者にクラスターへのアクセス権を付与するアクセス許可が含まれています。アクセスエントリに関連付けられている場合、そのアクセス範囲は通常、Kubernetes 名前空間ではなくクラスターになります。IAM プリンシパルの管理範囲をより限定したい場合は、代わりに [AmazonEKSAdminPolicy](#access-policy-permissions-amazoneksadminpolicy) アクセスポリシーをアクセスエントリに関連付けることを検討してください。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterAdminPolicy`
| Kubernetes API グループ | Kubernetes nonResourceURL | Kubernetes resources | Kubernetes 動詞(許可) |
| --- | --- | --- | --- |
| `*` | | `*` | `*` |
| | `*` | | `*` |
## AmazonEKSAdminViewPolicy
このアクセスポリシーには、IAM プリンシパルにクラスターの全リソースをリスト/表示するアクセス権を付与するアクセス許可が含まれています。これには [Kubernetes シークレット](https://kubernetes.io/docs/concepts/configuration/secret/)が含まれることに注意してください。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSAdminViewPolicy`
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞(許可) |
| --- | --- | --- |
| `*` | `*` | `get`, `list`, `watch` |
## AmazonEKSEditPolicy
このアクセスポリシーには、IAM プリンシパルがほとんどの Kubernetes リソースを編集できるようにするアクセス許可が含まれています。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSEditPolicy`
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞(許可) |
| --- | --- | --- |
| `apps` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `replicasets`, `replicasets/scale`, `statefulsets`, `statefulsets/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `jobs` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `deployments`, `deployments/rollback`, `deployments/scale`, `ingresses`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicationcontrollers/scale` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `networkpolicies` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
| | `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy`, `secrets`, `services/proxy` | `get`, `list`, `watch` |
| | `serviceaccounts` | `impersonate` |
| | `pods`, `pods/attach`, `pods/exec`, `pods/portforward`, `pods/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `events`, `persistentvolumeclaims`, `replicationcontrollers`, `replicationcontrollers/scale`, `secrets`, `serviceaccounts`, `services`, `services/proxy` | `create`, `delete`, `deletecollection`, `patch`, `update` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
## AmazonEKSViewPolicy
このアクセスポリシーには、IAM プリンシパルがほとんどの Kubernetes リソースを表示できるようにするアクセス許可が含まれています。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSViewPolicy`
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `apps` | `controllerrevisions`, `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `replicasets`, `replicasets/scale`, `replicasets/status`, `statefulsets`, `statefulsets/scale`, `statefulsets/status` | `get`, `list`, `watch` |
| `autoscaling` | `horizontalpodautoscalers`, `horizontalpodautoscalers/status` | `get`, `list`, `watch` |
| `batch` | `cronjobs`, `cronjobs/status`, `jobs`, `jobs/status` | `get`, `list`, `watch` |
| `discovery.k8s.io` | `endpointslices` | `get`, `list`, `watch` |
| `extensions` | `daemonsets`, `daemonsets/status`, `deployments`, `deployments/scale`, `deployments/status`, `ingresses`, `ingresses/status`, `networkpolicies`, `replicasets`, `replicasets/scale`, `replicasets/status`, `replicationcontrollers/scale` | `get`, `list`, `watch` |
| `networking.k8s.io` | `ingresses`, `ingresses/status`, `networkpolicies` | `get`, `list`, `watch` |
| `policy` | `poddisruptionbudgets`, `poddisruptionbudgets/status` | `get`, `list`, `watch` |
| | `configmaps`, `endpoints`, `persistentvolumeclaims`, `persistentvolumeclaims/status`, `pods`, `replicationcontrollers`, `replicationcontrollers/scale`, `serviceaccounts`, `services`, `services/status` | `get`, `list`, `watch` |
| | `bindings`, `events`, `limitranges`, `namespaces/status`, `pods/log`, `pods/status`, `replicationcontrollers/status`, `resourcequotas`, `resourcequotas/status` | `get`, `list`, `watch` |
| | `namespaces` | `get`, `list`, `watch` |
## AmazonEKSSecretReaderPolicy
このアクセスポリシーに含まれているアクセス許可により、IAM プリンシパルは [Kubernetes シークレット](https://kubernetes.io/docs/concepts/configuration/secret/)を読み取ることができます。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSSecretReaderPolicy`
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| | `secrets` | `get`, `list`, `watch` |
## AmazonEKSAutoNodePolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSAutoNodePolicy`
このポリシーには、Amazon EKS コンポーネントが以下のタスクを完了できるようにする次のアクセス許可が含まれています。
+ `kube-proxy` – ネットワークエンドポイントおよびサービスをモニタリングし、関連するイベントを管理します。これにより、クラスター全体のネットワークプロキシ機能が有効になります。
+ `ipamd` – AWS VPC ネットワーキングリソースと Container Network Interface (CNI) を管理します。これにより、IP アドレス管理デーモンがポッドネットワーキングを処理できるようになります。
+ `coredns` – エンドポイントやサービスなどのサービス検出リソースにアクセスします。これにより、クラスター内の DNS 解決が有効になります。
+ `ebs-csi-driver` – Amazon EBS ボリュームのストレージ関連リソースを操作します。これにより、永続ボリュームの動的なプロビジョニングとアタッチが可能になります。
+ `neuron` – AWS Neuron デバイスのノードとポッドをモニタリングします。これにより、AWS Inferentia および Trainium アクセラレーターを管理できます。
+ `node-monitoring-agent` – ノード診断およびイベントにアクセスします。これにより、クラスターのヘルスモニタリングと診断の収集が可能になります。
各コンポーネントは専用のサービスアカウントを使用し、その特定の機能に必要なアクセス許可のみに制限されます。
NodeClass でノード IAM ロールを手動で指定する場合には、新しいノード IAM ロールをこのアクセスポリシーに関連付けるアクセスエントリを作成する必要があります。
## Amazon EKSブロックストレージポリシー
**注記**
このポリシーは AWS サービスリンクロール専用で、カスタマーマネージドロールには使用できません。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStoragePolicy`
このポリシーには、Amazon EKS がストレージオペレーションのリーダー選出および調整リソースを管理できるようにするアクセス許可が含まれています。
+ `coordination.k8s.io` – リーダー選出用のリースオブジェクトを作成および管理します。これにより、EKS ストレージコンポーネントは、リーダー選出メカニズムを通じてクラスター全体のアクティビティを調整できます。
ポリシーは、クラスター内の他の調整リソースへのアクセス競合を防ぐために、EKS ストレージコンポーネントで使用される特定のリースリソースを対象とします。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、ブロックストレージ機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSLoadBalancingPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingPolicy`
このポリシーには、Amazon EKS がロードバランシングのリーダー選出リソースを管理できるようにするアクセス許可が含まれています。
+ `coordination.k8s.io` – リーダー選出用のリースオブジェクトを作成および管理します。これにより、EKS ロードバランシングコンポーネントはリーダーを選出することで、複数のレプリカ間でアクティビティを調整できます。
このポリシーは、クラスター内の他のリースリソースへのアクセスを防止しながら、適切な調整を実現するために、特にロードバランシングリースリソースを対象とします。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、ネットワーク機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSNetworkingPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingPolicy`
このポリシーには、Amazon EKS がネットワーキングのリーダー選出リソースを管理できるようにするアクセス許可が含まれています。
+ `coordination.k8s.io` – リーダー選出用のリースオブジェクトを作成および管理します。これにより、EKS ネットワークコンポーネントはリーダーを選出することで、IP アドレス割り当てアクティビティを調整できます。
このポリシーは、クラスター内の他のリースリソースへのアクセスを防止しながら、適切な調整を実現するために、特にネットワークリースリソースを対象とします。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、ネットワーク機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSComputePolicy
**注記**
このポリシーは AWS サービスリンクロール専用で、カスタマーマネージドロールには使用できません。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputePolicy`
このポリシーには、Amazon EKS がコンピューティングオペレーションのリーダー選出リソースを管理できるようにするアクセス許可が含まれています。
+ `coordination.k8s.io` – リーダー選出用のリースオブジェクトを作成および管理します。これにより、EKS コンピューティングコンポーネントは、リーダーを選出することでノードスケーリングアクティビティを調整できます。
このポリシーは、クラスター内のすべてのリースリソースへの基本的な読み取りアクセス (`get`、`watch`) を許可しながら、特にコンピューティング管理リースリソースを対象とします。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、コンピューティング管理機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSBlockStorageClusterPolicy
**注記**
このポリシーは AWS サービスリンクロール専用で、カスタマーマネージドロールには使用できません。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSBlockStorageClusterPolicy`
このポリシーは、Amazon EKS Auto Mode のブロックストレージ機能に必要なアクセス許可を付与します。これにより、Amazon EKS クラスター内のブロックストレージリソースを効率的に管理できます。 ポリシーには以下のアクセス許可が含まれています。
CSI ドライバー管理:
+ CSI ドライバー (特にブロックストレージ用) の作成、読み取り、更新、削除を行います。
ボリューム管理:
+ 永続ボリュームの一覧表示、監視、作成、更新、パッチ適用、削除を行います。
+ 永続ボリュームのクレームを一覧表示、監視、更新します。
+ パッチ永続ボリュームのクレームのステータス。
ノードとポッドのインタラクション:
+ ノードおよびポッドの情報を読み取ります。
+ ストレージオペレーションに関連するイベントを管理します。
ストレージクラスおよび属性:
+ ストレージクラスと CSI ノードを読み取ります。
+ ボリューム属性クラスを読み取ります。
ボリュームのアタッチ:
+ ボリュームのアタッチとそのステータスを一覧表示、監視、変更します。
スナップショットオペレーション:
+ ボリュームのスナップショット、スナップショットコンテンツ、スナップショットクラスを管理します。
+ ボリュームグループスナップショットおよび関連リソースのオペレーションを処理します。
このポリシーは、Auto Mode で実行されている Amazon EKS クラスター内の包括的なブロックストレージ管理をサポートするように設計されています。ブロックストレージボリュームのプロビジョニング、アタッチ、サイズ変更、スナップショット作成など、さまざまなオペレーションに対するアクセス許可を組み合わせます。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、ブロックストレージ機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSComputeClusterPolicy
**注記**
このポリシーは AWS サービスリンクロール専用で、カスタマーマネージドロールには使用できません。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSComputeClusterPolicy`
このポリシーは、Amazon EKS Auto Mode のコンピューティング管理機能に必要なアクセス許可を付与します。これにより、Amazon EKS クラスター内のコンピューティングリソースを効率的にオーケストレーションおよびスケールできます。 ポリシーには以下のアクセス許可が含まれています。
ノード管理:
+ NodePools および NodeClaims のステータスの作成、読み取り、更新、削除、管理を行います。
+ 作成、変更、削除を含め、NodeClasses を管理します。
スケジューリングとリソース管理:
+ ポッド、ノード、永続ボリューム、永続ボリュームのクレーム、レプリケーションコントローラー、名前空間への読み取りアクセス。
+ ストレージクラス、CSI ノード、ボリュームのアタッチへの読み取りアクセス。
+ デプロイ、デーモンセット、レプリカセット、ステートフルセットを一覧表示および監視します。
+ ポッド中断の予算を読み取ります。
イベント処理:
+ クラスターイベントの作成、読み取り、管理を行います。
ノードのプロビジョニング解除とポッドエビクション:
+ ノードの更新、パッチ適用、削除を行います。
+ 必要に応じて、ポッドエビクションを作成してポッドを削除します。
カスタムリソース定義 (CRD) 管理:
+ 新しい CRD を作成します。
+ ノード管理に関連する特定の CRD (NodeClasses、NodePools、NodeClaims、NodeDiagnostics) を管理します。
このポリシーは、Auto Mode で実行されている Amazon EKS クラスター内の包括的なコンピューティング管理をサポートするように設計されています。ノードのプロビジョニング、スケジューリング、スケーリング、リソースの最適化など、さまざまなオペレーションのアクセス許可を組み合わせます。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、コンピューティング管理機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSLoadBalancingClusterPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSLoadBalancingClusterPolicy`
このポリシーは、Amazon EKS Auto Mode のロードバランシング機能に必要なアクセス許可を付与します。これにより、Amazon EKS クラスター内のロードバランシングリソースを効率的に管理および設定できます。 ポリシーには以下のアクセス許可が含まれています。
イベントとリソースの管理:
+ イベントを作成してパッチを適用します。
+ ポッド、ノード、エンドポイント、名前空間への読み取りアクセス。
+ ポッドのステータスを更新します。
サービスおよびイングレス管理:
+ サービスとそのステータスの完全な管理。
+ イングレスとそのステータスの包括的な制御。
+ エンドポイントスライスとイングレスクラスへの読み取りアクセス。
ターゲットグループのバインディング:
+ ターゲットグループのバインディングとそのステータスを作成および変更します。
+ イングレスクラスパラメータへの読み取りアクセス。
カスタムリソース定義 (CRD) 管理:
+ すべての CRD の作成および読み取りを行います。
+ targetgroupbindings.eks.amazonaws.com および ingressclassparams.eks.amazonaws.com CRD の特定の管理。
ウェブフック設定:
+ 変異および検証ウェブフック設定の作成および読み取りを行います。
+ eks-load-balancing-webhook 設定を管理します。
このポリシーは、Auto Mode で実行されている Amazon EKS クラスター内の包括的なロードバランシング管理をサポートするように設計されています。サービスの公開、イングレスルーティング、AWS ロードバランシングサービスとの統合など、さまざまなオペレーションのアクセス許可を組み合わせます。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、ロードバランシング機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSNetworkingClusterPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSNetworkingClusterPolicy`
AmazonEKSNetworkingClusterPolicy
このポリシーは、Amazon EKS Auto Mode のネットワーキング機能に必要なアクセス許可を付与します。これにより、Amazon EKS クラスター内のネットワーキングリソースを効率的に管理および設定できます。 ポリシーには以下のアクセス許可が含まれています。
ノードとポッドの管理:
+ NodeClasses とそのステータスへの読み取りアクセス。
+ NodeClaims とそのステータスへの読み取りアクセス。
+ ポッドへの読み取りアクセス。
CNI ノード管理:
+ 作成、読み取り、更新、削除、パッチ適用などの、CNINodes とそのステータスのアクセス許可。
カスタムリソース定義 (CRD) 管理:
+ すべての CRD の作成および読み取りを行います。
+ cninodes.eks.amazonaws.com CRD の特定の管理 (更新、パッチ適用、削除)。
イベント管理:
+ イベントを作成してパッチを適用します。
このポリシーは、Auto Mode で実行されている Amazon EKS クラスター内の包括的なネットワーク管理をサポートするように設計されています。ノードネットワーキング設定、CNI (Container Network Interface) 管理、関連するカスタムリソース処理など、さまざまなオペレーションのアクセス許可を組み合わせます。
このポリシーにより、ネットワーキングコンポーネントはノード関連のリソースを操作し、CNI 固有のノード設定を管理し、クラスター内のネットワーキングオペレーションに不可欠なカスタムリソースを処理できます。
Amazon EKS は、Auto Mode が有効の場合、クラスター IAM ロールのこのアクセスポリシーを使用してアクセスエントリを自動的に作成し、ネットワーク機能が正しく機能するのに必要なアクセス許可を設定します。
## AmazonEKSHybridPolicy
**注記**
このポリシーは AWS サービスリンクロール専用で、カスタマーマネージドロールには使用できません。
このアクセスポリシーには、クラスターのノードへの EKS アクセスを許可するアクセス許可が含まれています。アクセスエントリに関連付けられている場合、そのアクセス範囲は通常、Kubernetes 名前空間ではなくクラスターになります。このポリシーは、Amazon EKS Hybrid Nodes で使用されます。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSHybridPolicy`
| Kubernetes API グループ | Kubernetes nonResourceURL | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- | --- |
| `*` | | `nodes` | `list` |
## AmazonEKSClusterInsightsPolicy
**注記**
このポリシーは AWS サービスリンクロール専用で、カスタマーマネージドロールには使用できません。
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSClusterInsightsPolicy`
このポリシーは、Amazon EKS クラスターインサイト機能の読み取り専用アクセス許可を付与します。 ポリシーには以下のアクセス許可が含まれています。
ノードアクセス: - クラスターノードの一覧表示および表示 - ノードのステータス情報の読み取り
DaemonSet アクセス: - kube-proxy 設定に対する読み取りアクセス
このポリシーは、クラスターインサイトの EKS サービスによって自動的に管理されます。詳細については、「[Kubernetes バージョンアップグレードの準備およびクラスターインサイトでの設定ミスのトラブルシューティング](cluster-insights.md)」を参照してください。
## AWSBackupFullAccessPolicyForBackup
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForBackup`
AWSBackupFullAccessPolicyForBackup
このポリシーは、AWS バックアップが EKS クラスターのバックアップを管理および作成するために必要なアクセス許可を付与します。このポリシーには、以下のアクセス許可が含まれています。
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `*` | `*` | `list`, `get` |
## AWSBackupFullAccessPolicyForRestore
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AWSBackupFullAccessPolicyForRestore`
AWSBackupFullAccessPolicyForRestore
このポリシーは、AWS バックアップが EKS クラスターのバックアップを管理および復元するために必要なアクセス許可を付与します。このポリシーには、以下のアクセス許可が含まれています。
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `*` | `*` | `list`, `get`, `create` |
| `rbac.authorization.k8s.io` | `roles`, `clusterroles` | `create`, `update`, `escalate` |
## AmazonEKSACKPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSACKPolicy`
このポリシーは、Kubernetes 用 AWS コントローラー (ACK) 機能が Kubernetes から AWS リソースを管理するために必要なアクセス許可を付与します。 ポリシーには以下のアクセス許可が含まれています。
ACK カスタムリソース管理:
+ S3、RDS、DynamoDB、Lambda、EC2 など、50 を超える AWS サービス全体ですべての ACK サービスカスタムリソースにフルアクセスします。
+ ACK カスタムリソース定義を作成、読み取り、更新、および削除します。
名前空間アクセス:
+ リソースを編成するために名前空間に読み取りアクセスします。
リーダー選出:
+ リーダーを選出するために調整リースを作成および読み取ります。
+ 特定の ACK サービスコントローラーリースを更新および削除します。
イベント管理:
+ ACK のオペレーション用にイベントを作成してパッチを適用します。
このポリシーは、Kubernetes API を介した包括的な AWS リソース管理をサポートするように設計されています。ACK 機能の作成時に機能 IAM ロールを指定した場合、Amazon EKS により、このアクセスポリシーに従ってそのロールへのアクセスエントリが自動的に作成されます。
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| | `namespaces` | `get`, `watch`, `list` |
| `services.k8s.aws`, `acm.services.k8s.aws`, `acmpca.services.k8s.aws`, `apigateway.services.k8s.aws`, `apigatewayv2.services.k8s.aws`, `applicationautoscaling.services.k8s.aws`, `athena.services.k8s.aws`, `bedrock.services.k8s.aws`, `bedrockagent.services.k8s.aws`, `bedrockagentcorecontrol.services.k8s.aws`, `cloudfront.services.k8s.aws`, `cloudtrail.services.k8s.aws`, `cloudwatch.services.k8s.aws`, `cloudwatchlogs.services.k8s.aws`, `codeartifact.services.k8s.aws`, `cognitoidentityprovider.services.k8s.aws`, `documentdb.services.k8s.aws`, `dynamodb.services.k8s.aws`, `ec2.services.k8s.aws`, `ecr.services.k8s.aws`, `ecrpublic.services.k8s.aws`, `ecs.services.k8s.aws`, `efs.services.k8s.aws`, `eks.services.k8s.aws`, `elasticache.services.k8s.aws`, `elbv2.services.k8s.aws`, `emrcontainers.services.k8s.aws`, `eventbridge.services.k8s.aws`, `iam.services.k8s.aws`, `kafka.services.k8s.aws`, `keyspaces.services.k8s.aws`, `kinesis.services.k8s.aws`, `kms.services.k8s.aws`, `lambda.services.k8s.aws`, `memorydb.services.k8s.aws`, `mq.services.k8s.aws`, `networkfirewall.services.k8s.aws`, `opensearchservice.services.k8s.aws`, `organizations.services.k8s.aws`, `pipes.services.k8s.aws`, `prometheusservice.services.k8s.aws`, `ram.services.k8s.aws`, `rds.services.k8s.aws`, `recyclebin.services.k8s.aws`, `route53.services.k8s.aws`, `route53resolver.services.k8s.aws`, `s3.services.k8s.aws`, `s3control.services.k8s.aws`, `sagemaker.services.k8s.aws`, `secretsmanager.services.k8s.aws`, `ses.services.k8s.aws`, `sfn.services.k8s.aws`, `sns.services.k8s.aws`, `sqs.services.k8s.aws`, `ssm.services.k8s.aws`, `wafv2.services.k8s.aws` | `*` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases` (特定の ACK サービスコントローラーリース専用) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
## AmazonEKSArgoCDClusterPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSArgoCDClusterPolicy`
このポリシーは、Argo CD 機能がリソースを検出し、クラスター範囲のオブジェクトを管理するために必要なクラスターレベルのアクセス許可を付与します。 ポリシーには以下のアクセス許可が含まれています。
名前空間の管理:
+ アプリケーションの名前空間を管理するための名前空間を作成、読み取り、更新、および削除します。
カスタムリソース定義の管理:
+ Argo CD 固有の CRD (Application、AppProject、ApplicationSet) を管理します。
API 検出:
+ リソースを検出するために Kubernetes API エンドポイントに読み取りアクセスします。
このポリシーは、名前空間の管理や CRD のインストールなど、クラスターレベルの Argo CD オペレーションをサポートするように設計されています。Argo CD 機能の作成時に機能 IAM ロールを指定した場合、Amazon EKS により、このアクセスポリシーに従ってそのロールへのアクセスエントリが自動的に作成されます。
| Kubernetes API グループ | Kubernetes nonResourceURL | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- | --- |
| | | `namespaces` | `create`, `get`, `update`, `patch`, `delete` |
| `apiextensions.k8s.io` | | `customresourcedefinitions` | `create` |
| `apiextensions.k8s.io` | | `customresourcedefinitions` (Argo CD CRD のみ) | `get`, `update`, `patch`, `delete` |
| | `/api`, `/api/*`, `/apis`, `/apis/*` | | `get` |
## AmazonEKSArgoCDPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSArgoCDPolicy`
このポリシーは、Argo CD 機能がアプリケーションをデプロイおよび管理するために必要な名前空間レベルのアクセス許可を付与します。 ポリシーには以下のアクセス許可が含まれています。
シークレットの管理:
+ Git 認証情報用のシークレットとクラスターシークレットにフルアクセスします。
ConfigMap アクセス:
+ ConfigMaps に読み取りアクセスして、サポート対象外の Argo CD ConfigMaps を使用しようとしたら警告を送信します。
イベント管理:
+ アプリケーションライフサイクルを追跡するためのイベントを読み取りおよび作成します。
Argo CD リソース管理:
+ Application、ApplicationSet、AppProject にフルアクセスします。
+ Argo CD リソースのファイナライザーおよびステータスを管理します。
このポリシーは、アプリケーションのデプロイや管理など、名前空間レベルの Argo CD オペレーションをサポートするように設計されています。Argo CD 機能の作成時に機能 IAM ロールを指定した場合、Amazon EKS により、このアクセスポリシーに従ってそのロールへのアクセスエントリが自動的に作成され、その範囲が Argo CD 名前空間に限定されます。
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| | `secrets` | `*` |
| | `configmaps` | `get`, `list`, `watch` |
| | `events` | `get`, `list`, `watch`, `patch`, `create` |
| `argoproj.io` | `applications`, `applications/finalizers`, `applications/status`, `applicationsets`, `applicationsets/finalizers`, `applicationsets/status`, `appprojects`, `appprojects/finalizers`, `appprojects/status` | `*` |
## AmazonEKSKROPolicy
**ARN** — ` arn:aws:eks::aws:cluster-access-policy/AmazonEKSKROPolicy`
このポリシーは、kro (Kube Resource Orchestrator) 機能がカスタム Kubernetes API を作成および管理するために必要なアクセス許可を付与します。 ポリシーには以下のアクセス許可が含まれています。
kro リソース管理:
+ ResourceGraphDefinitions やカスタムリソースインスタンスを含めすべての kro リソースにフルアクセスします。
カスタムリソース定義の管理:
+ ResourceGraphDefinitions に定義されたカスタム API の CRD を作成、読み取り、更新、および削除します。
リーダー選出:
+ リーダーを選出するために調整リースを作成および読み取ります。
+ kro コントローラーリースを更新および削除します。
イベント管理:
+ kro のオペレーション用にイベントを作成してパッチを適用します。
このポリシーは、kro を介した包括的なリソース構成とカスタム API 管理をサポートするように設計されています。kro 機能の作成時に機能 IAM ロールを指定した場合、Amazon EKS により、このアクセスポリシーに従ってそのロールへのアクセスエントリが自動的に作成されます。
| Kubernetes API グループ | Kubernetes resources | Kubernetes 動詞 (許可) |
| --- | --- | --- |
| `kro.run` | `*` | `*` |
| `apiextensions.k8s.io` | `customresourcedefinitions` | `*` |
| `coordination.k8s.io` | `leases` | `create`, `get`, `list`, `watch` |
| `coordination.k8s.io` | `leases` (kro コントローラーリースのみ) | `delete`, `update`, `patch` |
| | `events` | `create`, `patch` |
## アクセスポリシーの更新
アクセスポリシーが導入されてからのアクセスポリシーへの更新に関する詳細を表示します。このページの変更に関する自動通知については、[ドキュメント履歴](doc-history.md) の RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| EKS 機能用のポリシーを追加する | EKS 機能を管理できるように `AmazonEKSACKPolicy`、`AmazonEKSArgoCDClusterPolicy`、`AmazonEKSArgoCDPolicy`、`AmazonEKSKROPolicy` を発行します。 | 2025 年 11 月 22 日 |
| `AmazonEKSSecretReaderPolicy` を追加します。 | 読み取り専用アクセス用の新しいポリシーをシークレットに追加する | 2025 年 11 月 6 日 |
| EKS クラスターインサイトのポリシーを追加する | `AmazonEKSClusterInsightsPolicy` を発行 | 2024 年 12 月 2 日 |
| Amazon EKS Hybrid のポリシーを追加 | `AmazonEKSHybridPolicy` を発行 | 2024 年 12 月 2 日 |
| Amazon EKS Auto Mode のポリシーを追加 | このアクセスポリシーは、クラスター IAM ロールとノード IAM ロールに Kubernetes API を呼び出すアクセス許可を付与します。AWS ではこれらを使用して、ストレージ、コンピューティング、およびネットワーキングリソースのルーチンタスクを自動化します。 | 2024 年 12 月 2 日 |
| `AmazonEKSAdminViewPolicy` を追加します。 | Secrets などのリソースを含む、拡張ビューアクセス用の新しいポリシーを追加します。 | 2024 年 4 月 23 日 |
| アクセスポリシーが導入されました。 | Amazon EKS はアクセスポリシーを導入しました。 | 2023 年 5 月 29 日 |