**このページの改善にご協力ください** 

このユーザーガイドに貢献するには、すべてのページの右側のペインにある「**GitHub でこのページを編集する**」リンクを選択してください。

# Kubernetes API への書き込みアクセスを AWS サービスに付与する
<a name="mutate-kubernetes-resources"></a>

## 必要なアクセス許可
<a name="mutate-kubernetes-resources-permissions"></a>

AWS サービスが Amazon EKS クラスター内の Kubernetes リソースに対して書き込みオペレーションを実行できるようにするには、`eks:AccessKubernetesApi` と `eks:MutateViaKubernetesApi` の両方の IAM アクセス許可を付与する必要があります。

例えば、Amazon SageMaker HyperPod はこれらのアクセス許可を使用して、SageMaker AI Studio からのモデルデプロイを有効にします。詳細については、Amazon SageMaker AI デベロッパーガイドの「[Set up optional JavaScript SDK permissions](https://docs.aws.amazon.com/sagemaker/latest/dg/sagemaker-hyperpod-model-deployment-setup.html#sagemaker-hyperpod-model-deployment-setup-optional-js)」を参照してください。

**重要**  
作成、更新、削除などの書き込みオペレーションには両方のアクセス許可が必要です。いずれかのアクセス許可がない場合、書き込みオペレーションは失敗します。

## CloudTrail の可視性
<a name="cloudtrail-visibility"></a>

Kubernetes リソースに対して書き込みオペレーションを実行すると、CloudTrail ログに特定のオペレーション名が表示されます。
+  `createKubernetesObject` – 新しいリソースを作成する場合
+  `updateKubernetesObject` – 既存のリソースを変更する場合
+  `deleteKubernetesObject` – リソースを削除する場合

これらの CloudTrail イベントは、Kubernetes リソースに加えられたすべての変更の詳細な監査証跡を提供します。

**注記**  
これらのオペレーション名は、監査目的でのみ CloudTrail ログに表示されます。これらは IAM アクションではなく、IAM ポリシーステートメントでは使用できません。IAM ポリシーを使用して Kubernetes リソースへの書き込みアクセスを制御するには、「[必要なアクセス許可](#mutate-kubernetes-resources-permissions)」セクションに示すように `eks:MutateViaKubernetesApi` アクセス許可を使用します。