2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 1 Amazon EKS Pod Identityで 何が変わるのか 佐藤 靖幸 AWS re:Invent 2023 re:cap LT⼤会

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 2 ⾃⼰紹介 PARTNER NETWORK 2022 APN AWS Top Engineers © 佐藤靖幸 2024 佐藤 靖幸 @yasai_ls 得意領域 バックエンド開発 クラウドインフラ（AWS）

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 3 本LTについて 本LTでは、AWS re:Invent 2023 開催期間中に発表された Amazon EKS Pod Identityとは何なのか、導⼊することで 何が変わるのかをご共有します。 個⼈的にお気に⼊りなAmazon EKS Blueprintsにおける アドオンについても触れます。

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 4 アジェンダ Amazon EKS Pod Identityとは Amazon EKS Pod Identityで何が変わる︖IRSAとの違い Amazon EKS Blueprints におけるアドオン まとめ

Amazon EKS Pod Identityとは 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 5 re:Invent 2023 期間中に発表された Amazon EKS Pod Identityとは

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 6 Amazon EKS Pod Identityが もたらすもの Amazon EKS Pod Identity は EKSクラスターで稼働している アプリケーションがAWSリソース（S3など）に アクセスする⽅法を従来の⽅法より簡素化します！

Amazon EKS Pod Identityの構成要素 構成要素 説明 IAMロール サービスアカウントに紐付けるIAMロール 新しいEKSサービスプリンシパル IAMロールの信頼ポリシーに指定する 新しいEKSサービスプリンシパル “pods.eks.amazonaws.com” EKS API Pod Identity 関連付けを実現するためのAPI群 （AWS CLI や マネージメントコンソールから呼び出される） Pod Identity Agent Add-on Pod Identity 関連付けを実現するために EKSクラスターに導⼊するアドオン EKSクラスターバージョン Amazon EKS バージョン 1.24 以降で動作 AWS SDKバージョン AWS CLIおよび、それぞれのプログラミング⾔語で Pod Identityに対応するAWS SDKバージョンを利⽤ 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 7

マネージメントコンソール 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 8 Add-on Pod Identity associations

IAMロールの信頼ポリシー例 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 9

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 10 Amazon EKS Pod Identityで何が変わる？ IRSAとの違い 何が変わるのか

運⽤が変わる IAMロールの信頼ポリシーのセットアップは⼀度だけ。 作成したIAMロールを複数のEKSクラスターで簡単に使い回せる。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 11 EKS OIDC プロバイダー エンドポイントは不要に！

権限制御のルールが変わる セッションタグのサポートによって、 属性ベースのアクセス制御（ABAC）を導⼊可能に 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 12

IRSAとの違い • 従来のIAM Roles for Service Accounts（IRSA）も 引き続き利⽤可能。主要な違いは ... • EKSクラスターのOIDCプロバイダーエンドポイントでIAMロールの信 頼ポリシーを更新する必要がなくなった。 • つまり、Open ID Connect Provider を作成が不要に • セルフマネージドKubernetesやROSAではPod Identityは未対応 引き続きIRSAを利⽤すればOK • クロスアカウントアクセスの際に リソースポリシーを利⽤することが可能に • セッションタグによる属性ベースのアクセス制御が可能に 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 13

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 14 Amazon EKS Blueprints におけるアドオン EKS Blueprints みなさん利⽤してますか？

Amazon EKS Blueprintsとは Amazon EKS BlueprintsはAmazon EKSの クラスター構築パターンを利⽤して迅速に Amazon EKSをセットアップしてくれるIaCテンプレートです。 Terraformバージョン、CDKバージョンがあります。 Terraformバージョンがスター数が2Kを越えており激推しです。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 15

EKS BlueprintsのAddonモジュール EKSにおけるAdd-onの追加は、Blueprintsにおいては addonsモジュールによって管理されています。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 16

Pod IdentityをEKS Blueprintsで 有効化したい！したいですね？ そう思いませんか？ 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 17 Pull RequestによるContributeのチャンスです！ みてみると ...

Issueとしては挙がっていました！！ 本IssueはIRSAから Pod Identityに切り替える ことによる破壊的変更に 関するトピックのようです。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 18

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 19 まとめ 「Amazon EKS Pod Identityで 何が変わるのか」をまとめます

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 20 Amazon EKS Pod Identityが もたらすもの（再掲） Amazon EKS Pod Identity は EKSクラスターで稼働している アプリケーションがAWSリソース（S3など）に アクセスする⽅法を従来の⽅法より簡素化します！ 利⽤できるEKSクラスターのバージョンや SDKのバージョンなど要件はありますが、条件が合致すれば 積極的に活⽤していきたいですね！

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 21 Appendix • EKS Pod Identities https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html • Using a supported AWS SDK https://docs.aws.amazon.com/eks/latest/userguide/pod-id-minimum-sdk.html • AWS Blog ① - re:Invent 期間中の発表 https://aws.amazon.com/jp/blogs/aws/amazon-eks-pod-identity-simplifies-iam-permissions-for- applications-on-amazon-eks-clusters/ • AWS Blog ② - 具体例を添えた詳細な記事 https://aws.amazon.com/jp/blogs/containers/amazon-eks-pod-identity-a-new-way-for-applications-on- eks-to-obtain-iam-credentials/

2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 22 ご清聴ありがとう ございました。 © 佐藤靖幸 2024