growing hard days.

EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

2023/12/11 2023/12/13

マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間やポッドをクリックしても
「このクラスターにはポッドがないか、表示する許可がありません。」
と表示されて見えません。

画面上部にはこんなメッセージもあります。
「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

IAMポリシーはAdministratorAccessなのになぜだろうと思っていると、AWS re:Postに答えがありました。

Amazon EKS の「現在のユーザーまたはロールには、この EKS クラスターの Kubernetes オブジェクトへのアクセス権がありません」というエラーを解決するにはどうすればよいですか?

ユーザーガイドではこちらです。
Kubernetes リソースを表示する

クラスターのConfigMapsのaws-authに権限が必要で、例えば次のような設定をします。

mapRoles: |
  - rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole
    username: OrganizationAccountAccessRole    
    groups:
    - system:masters

1

2

3

4

5

6

mapRoles: |

- rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

username: OrganizationAccountAccessRole

groups:

- system:masters

これをeksctl create iamidentitymappingコマンドで一気に設定できました。

eksctl create iamidentitymapping \
--cluster cluster-name \
--region us-east-1 \
--arn arn:aws:iam::123456789012:role/role-name \
--group system:masters \
--username role-name

1

2

3

4

5

6

7

eksctl create iamidentitymapping \

--cluster cluster-name \

--region us-east-1 \

--arn arn:aws:iam::123456789012:role/role-name \

--group system:masters \

--username role-name

cluster-name、リージョンコード、role-nameはそれぞれの値に変更します。

名前空間もポッドも見えるようになりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, eks, kubernetes

Tweet

関連記事

: cfn-signalの認証とネットワーク

AWS CloudFormationヘルパースクリプトのcfn-signalがC …

: Amazon Pinpoint Workshopの1(Eメール)

Amazon Pinpoint Workshop ここ数年、AWS re:Inv …

: AWS Transit Gatewayピアリング接続確認

AWS Transit Gatewayのピアリング接続を使用して、異なるリージョ …

: 「Getting started with AWS Glue DataBrew」をやってみました

AWS Glue DataBrewを体験してみたくて、開発者ガイドのチュートリア …

: ads.txtをS3に配置してCloudFrontで設定する

ads.txtのダウンロード ads.txt設置してねってメールが来てました。 …

: S3オブジェクトへのリクエストをCloudTrail, Athenaで識別する(パーティショニング)

Amazon S3オブエジェクトへのリクエストをCloudTrail, Athe …

: AWSのAmazon LinuxにGitマスターサーバをインストールしてRedmineリポジトリブラウザで見る

Amazon LinuxにGitをインストールする Gitをインストールして自動 …

: Amazon Location Service入門ワークショップ-ルート計算

Amazon Location Service入門ワークショップのアプリで、ルー …

: S3バケットのデフォルト暗号化はデフォルトだったことを確認しました

S3バケットのデフォルト暗号化は名前のとおりだとデフォルトなので、暗号化を指定し …

: RocketChat(EC2インスタンス)でCPU80%以上を10分間継続したら再起動する

先日、数日間のやり取り用で完全に使い捨てとして使っているRocketChatで、 …

PREV: AWS CLIを使用せずにCodeCommitへhttpsで接続する
NEXT: Introduction to Amazon EKS Workshopの記録