growing hard days.

EKS「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

2023/12/11 2023/12/13

マネジメントコンソールでクラスターのオブジェクトを見ようと、リソースの名前空間やポッドをクリックしても
「このクラスターにはポッドがないか、表示する許可がありません。」
と表示されて見えません。

画面上部にはこんなメッセージもあります。
「現在の IAM プリンシパルは、このクラスター上の Kubernetes オブジェクトにアクセスできません」

IAMポリシーはAdministratorAccessなのになぜだろうと思っていると、AWS re:Postに答えがありました。

Amazon EKS の「現在のユーザーまたはロールには、この EKS クラスターの Kubernetes オブジェクトへのアクセス権がありません」というエラーを解決するにはどうすればよいですか?

ユーザーガイドではこちらです。
Kubernetes リソースを表示する

クラスターのConfigMapsのaws-authに権限が必要で、例えば次のような設定をします。

mapRoles: |
  - rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole
    username: OrganizationAccountAccessRole    
    groups:
    - system:masters

1

2

3

4

5

6

mapRoles: |

- rolearn: arn:aws:iam::123456789012:role/OrganizationAccountAccessRole

username: OrganizationAccountAccessRole

groups:

- system:masters

これをeksctl create iamidentitymappingコマンドで一気に設定できました。

eksctl create iamidentitymapping \
--cluster cluster-name \
--region us-east-1 \
--arn arn:aws:iam::123456789012:role/role-name \
--group system:masters \
--username role-name

1

2

3

4

5

6

7

eksctl create iamidentitymapping \

--cluster cluster-name \

--region us-east-1 \

--arn arn:aws:iam::123456789012:role/role-name \

--group system:masters \

--username role-name

cluster-name、リージョンコード、role-nameはそれぞれの値に変更します。

名前空間もポッドも見えるようになりました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, eks, kubernetes

Tweet

関連記事

: IAMアイデンティティセンター(IIC)のList Assignment APIを確認しました

やりたいことは、IAMアイデンティティセンター(IIC)のユーザー名をキーにして …

: AWS Managed Microsoft ADを構築してユーザー追加まで

事前準備 DNSホスト名と名前解決を有効にしたVPCを作成して、2つのAZにパブ …

: AWSアカウントルートユーザーのMFAが使えなくなったので復旧

AWSのルートユーザーどころか、MFAが使えるログインすべてが使えなくなって焦り …

: 執筆環境(PyCharm, CodeCommit, CodePipeline, S3, Lambda, 署名付きURL)

2018年から、年に1回ぐらい商業本の執筆をさせていただいております。 2020 …

: JAWS-UG Osaka 第14回勉強会「DIY」〜自社内システムを作る側からの物申す〜に参加、運営、登壇しました

先日、JAWS-UG Osaka 第14回勉強会「DIY」〜自社内システムを …

: AWS Transit Gateway Network ManagerにTransit Gatewayを登録してルートアナライザーで確認

グローバルネットワークの作成 VPC左ペインのメニュー Transit Gate …

: AWSアカウントルートユーザーのMFAでYubicoセキュリティキーを設定した

先日Yubico セキュリティキーを購入して、USBにささなければならないのがな …

: macOSにAWS Schema Conversion Toolをインストール

環境 macOS BigSur バージョン11.5(20G71) MacBook …

: S3署名付きURL(GetObject)生成後にオブジェクトを上書きアップロードしたら

ダウンロードリクエストを実行したタイミングのオブジェクトがダウンロードされるので …

: リザーブドインスタンスはじめました

このブログも2014年9月にはじめたので、もうすぐ3年。 1件~17件とばらつき …

PREV: AWS CLIを使用せずにCodeCommitへhttpsで接続する
NEXT: Introduction to Amazon EKS Workshopの記録