growing hard days.

EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

2023/12/11 2023/12/13

マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間やポッドをクリックしても
「このクラスターにはポッドがないか、表示する許可がありません。」
と表示されて見えません。

画面上部にはこんなメッセージもあります。
「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

IAMポリシーはAdministratorAccessなのになぜだろうと思っていると、AWS re:Postに答えがありました。

Amazon EKS の「現在のユーザーまたはロールには、この EKS クラスターの Kubernetes オブジェクトへのアクセス権がありません」というエラーを解決するにはどうすればよいですか?

ユーザーガイドではこちらです。
Kubernetes リソースを表示する

クラスターのConfigMapsのaws-authに権限が必要で、例えば次のような設定をします。

mapRoles: |
  - rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole
    username: OrganizationAccountAccessRole    
    groups:
    - system:masters

1

2

3

4

5

6

mapRoles: |

- rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

username: OrganizationAccountAccessRole

groups:

- system:masters

これをeksctl create iamidentitymappingコマンドで一気に設定できました。

eksctl create iamidentitymapping \
--cluster cluster-name \
--region us-east-1 \
--arn arn:aws:iam::123456789012:role/role-name \
--group system:masters \
--username role-name

1

2

3

4

5

6

7

eksctl create iamidentitymapping \

--cluster cluster-name \

--region us-east-1 \

--arn arn:aws:iam::123456789012:role/role-name \

--group system:masters \

--username role-name

cluster-name、リージョンコード、role-nameはそれぞれの値に変更します。

名前空間もポッドも見えるようになりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, eks, kubernetes

Tweet

関連記事

: AWS Certificate Manager(ACM)メール検証をDNS検証の証明書に差し替えました

ブログの証明書このブログの証明書の有効期限があと1週間です。証明書はAWS …

: S3リクエストメトリクスをプレフィックスを指定して有効化

検証でどのリクエストがどれぐらい発生しているのか、さっと知りたくなったので、特定 …

: DynamoDB IAMポリシーで特定属性だけを許可する

検証記録です。対象テーブル書籍のサンプルで作ったこちらです。所属バンドの楽 …

: AWS Lambdaで Unable to import module エラーが発生したときは

そもそも、Pycharmのナビゲーションペインでディレクトリごとドラッグ&amp …

: PyCharmにAWS Tool kitをインストールしてサンプルのLambda関数をデプロイして実行しました

この記事はJetBrainsIDE Advent Calendar 2018に参 …

: AWS Control TowerにOUを追加する

AWS Control TowerにOUを追加する管理アカウントでAWS Co …

: Amazon EC2のスクリーンショットとは

ドキュメント見てたらAmazon EC2でスクリーンショットって機能があったので …

: AWS Lambda Layersのアーカイブファイルをダウンロードする

Cloud9にLambda Layersをダウンロードしたかったので検索してみた …

: AWSエンコードされたエラーメッセージをデコードするコマンドのメモ

Stdout: couldn’t create ENI: Unaut …

: AWS BatchでPandocコンテナイメージを実行する

「ECR(Amazon Elastic Container Registry)に …

PREV: AWS CLIを使用せずにCodeCommitへhttpsで接続する
NEXT: Introduction to Amazon EKS Workshopの記録