growing hard days.

EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

2023/12/11 2023/12/13

マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間やポッドをクリックしても
「このクラスターにはポッドがないか、表示する許可がありません。」
と表示されて見えません。

画面上部にはこんなメッセージもあります。
「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

IAMポリシーはAdministratorAccessなのになぜだろうと思っていると、AWS re:Postに答えがありました。

Amazon EKS の「現在のユーザーまたはロールには、この EKS クラスターの Kubernetes オブジェクトへのアクセス権がありません」というエラーを解決するにはどうすればよいですか?

ユーザーガイドではこちらです。
Kubernetes リソースを表示する

クラスターのConfigMapsのaws-authに権限が必要で、例えば次のような設定をします。

mapRoles: |
  - rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole
    username: OrganizationAccountAccessRole    
    groups:
    - system:masters

1

2

3

4

5

6

mapRoles: |

- rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

username: OrganizationAccountAccessRole

groups:

- system:masters

これをeksctl create iamidentitymappingコマンドで一気に設定できました。

eksctl create iamidentitymapping \
--cluster cluster-name \
--region us-east-1 \
--arn arn:aws:iam::123456789012:role/role-name \
--group system:masters \
--username role-name

1

2

3

4

5

6

7

eksctl create iamidentitymapping \

--cluster cluster-name \

--region us-east-1 \

--arn arn:aws:iam::123456789012:role/role-name \

--group system:masters \

--username role-name

cluster-name、リージョンコード、role-nameはそれぞれの値に変更します。

名前空間もポッドも見えるようになりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, eks, kubernetes

Tweet

関連記事

: CUSTOMINEを使ってkintoneからAWS Lambdaを実行する(Cognito認証付き)

先日の記事「kintoneのカスタマイズ開発を超速にするCUSTOMINE」で書 …

: API Gatewayで顧客レベルの使用量プランを設定する

API GatewayのAPIキーを使って使用量プランでのスロットリングも設定し …

: Cloud9 Python3でpipも3にする

このブログは、2019/10/20に書いた、 Cloud9のAMIがCloud9 …

: AWS Snowファミリーのジョブ作成画面を確認

使わないのですが、画面を見ておきたかったので確認しました。 Snowファミリージ …

: Amazon API Gatewayでモックを作る

超シンプルなAPI Gatewayのサンプルがほしかったので、ユーザーガイドの手 …

: AWS Lambdaで Unable to import module エラーが発生したときは

そもそも、Pycharmのナビゲーションペインでディレクトリごとドラッグ&amp …

: S3インベントリ設定でインベントリファイルの作成を設定

インベントリレポートファイルはオブジェクトの一覧情報です。日次、週次で定期作成 …

: Amazon VPCにオンプレミス検証環境想定プライベートDNSサーバー(BIND)をEC2で起動する

オンプレミス想定の検証で使うために、Amazon VPCにプライベート向けDNS …

: cfn-signalの認証とネットワーク

AWS CloudFormationヘルパースクリプトのcfn-signalがC …

: Amazon SESでメール受信

Amazon SES(Simple Email Service)にメールドメイン …

PREV: AWS CLIを使用せずにCodeCommitへhttpsで接続する
NEXT: Introduction to Amazon EKS Workshopの記録