**このページの改善にご協力ください** このユーザーガイドに貢献するには、すべてのページの右側のペインにある「**GitHub でこのページを編集する**」リンクを選択してください。 # EKS Pod Identity で必須の信頼ポリシーを使用して IAM ロールを作成する ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ] } ] } ``` ** `sts:AssumeRole` ** EKS Pod Identity は一時的な認証情報をポッドに渡す前に、`AssumeRole` を使用して IAM ロールを引き継ぎます。 ** `sts:TagSession` ** EKS Pod Identity は、AWS STS へのリクエストにセッションタグを含めるために `TagSession` を使用します。 **条件の設定** これらのタグを信頼ポリシーの*条件キー*で使用して、このロールを使用できるサービスアカウント、名前空間、およびクラスターを制限できます。Pod Identity が追加するリクエストタグのリストについては、「[セッションタグを有効または無効にする](pod-id-abac.md#pod-id-abac-tags)」を参照してください。 例えば、追加した `Condition` に以下の信頼ポリシーを指定して、Pod Identity IAM ロールを引き受けることができるポッドを特定の `ServiceAccount` および `Namespace` に限定できます。 ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowEksAuthToAssumeRoleForPodIdentity", "Effect": "Allow", "Principal": { "Service": "pods.eks.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "aws:RequestTag/kubernetes-namespace": [ "Namespace" ], "aws:RequestTag/kubernetes-service-account": [ "ServiceAccount" ] } } } ] } ``` Amazon EKS 条件キーのリストについては「*サービス認可リファレンス*」の「[Amazon エラスティックKubernetesサービス によって定義された条件](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては「[Amazon エラスティックKubernetesサービス で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelastickubernetesservice.html#amazonelastickubernetesservice-actions-as-permissions)」を参照してください。