growing hard days.

EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

2023/12/11 2023/12/13

マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間やポッドをクリックしても
「このクラスターにはポッドがないか、表示する許可がありません。」
と表示されて見えません。

画面上部にはこんなメッセージもあります。
「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

IAMポリシーはAdministratorAccessなのになぜだろうと思っていると、AWS re:Postに答えがありました。

Amazon EKS の「現在のユーザーまたはロールには、この EKS クラスターの Kubernetes オブジェクトへのアクセス権がありません」というエラーを解決するにはどうすればよいですか?

ユーザーガイドではこちらです。
Kubernetes リソースを表示する

クラスターのConfigMapsのaws-authに権限が必要で、例えば次のような設定をします。

mapRoles: |
  - rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole
    username: OrganizationAccountAccessRole    
    groups:
    - system:masters

1

2

3

4

5

6

mapRoles: |

- rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

username: OrganizationAccountAccessRole

groups:

- system:masters

これをeksctl create iamidentitymappingコマンドで一気に設定できました。

eksctl create iamidentitymapping \
--cluster cluster-name \
--region us-east-1 \
--arn arn:aws:iam::123456789012:role/role-name \
--group system:masters \
--username role-name

1

2

3

4

5

6

7

eksctl create iamidentitymapping \

--cluster cluster-name \

--region us-east-1 \

--arn arn:aws:iam::123456789012:role/role-name \

--group system:masters \

--username role-name

cluster-name、リージョンコード、role-nameはそれぞれの値に変更します。

名前空間もポッドも見えるようになりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, eks, kubernetes

Tweet

関連記事

: Amazon Pollyを使って覚えたい資料を耳から身体に染み込ませる

Amazon Pollyを使うとソースコードを一切かかなくても、テキストを音声に …

: X-Ray SDK for Python でライブラリへのパッチ適用

boto3でのAWS呼び出しとrequestsでの外部API呼び出しにパッチ適用 …

: ヤマムギ vol.10 (AWS)EC2モニタリングハンズオン手順

このブログは2020/5/6に開催しました、「ヤマムギ vol.10 (AWS) …

: 試したい事があるのでAWS でとりあえずAmazon Linuxのサーバを作る

1年間の無料キャンペーン期間中に検証するとある勉強会でせっかくAWSのアカウン …

: WordPress W3 Total Cache のDatabaseCacheをAmazon ElastiCacheのmemcachedに格納する

このブログのアーキテクチャは現在こちらです。データベースは、Amazon Au …

: CodeCommitリポジトリの復号化のCloudTrailログ確認

ユーザーガイドAWS Key Management Service と AWS …

: Amazon Linux2(EC2)にEC-CUBE 4をインストール

こちらのHOMEお知らせ・コラムAmazon Linux2にEC-CUBE4.0 …

: EC2 Windows インスタンス PowerShellでメタデータを見る

Linuxインスタンスならcurlコマンドで確認すればいいのですが、Window …

: AWS SSOのIDソースをAD Connectorにしました

オンプレミス想定のActive DirectoryにVPN接続して、AD Con …

: Amazon Kinesis Data StreamsにTwitter検索データを送信する

Kinesis Data Streamsの作成ストリーム名とシャード数を決定す …

PREV: AWS CLIを使用せずにCodeCommitへhttpsで接続する
NEXT: Introduction to Amazon EKS Workshopの記録