Amazon EKS Pod Identityで何が変わるのか

Transcript

1. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 1 Amazon EKS Pod

   Identityで 何が変わるのか 佐藤 靖幸 AWS re:Invent 2023 re:cap LT⼤会

2. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 2 ⾃⼰紹介 PARTNER NETWORK

   2022 APN AWS Top Engineers © 佐藤靖幸 2024 佐藤 靖幸 @yasai_ls 得意領域 バックエンド開発 クラウドインフラ（AWS）

3. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 3 本LTについて 本LTでは、AWS re:Invent

   2023 開催期間中に発表された Amazon EKS Pod Identityとは何なのか、導⼊することで 何が変わるのかをご共有します。 個⼈的にお気に⼊りなAmazon EKS Blueprintsにおける アドオンについても触れます。

4. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 4 アジェンダ Amazon EKS

   Pod Identityとは Amazon EKS Pod Identityで何が変わる︖IRSAとの違い Amazon EKS Blueprints におけるアドオン まとめ

5. Amazon EKS Pod Identityとは 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会

   5 re:Invent 2023 期間中に発表された Amazon EKS Pod Identityとは

6. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 6 Amazon EKS Pod

   Identityが もたらすもの Amazon EKS Pod Identity は EKSクラスターで稼働している アプリケーションがAWSリソース（S3など）に アクセスする⽅法を従来の⽅法より簡素化します！

7. Amazon EKS Pod Identityの構成要素 構成要素 説明 IAMロール サービスアカウントに紐付けるIAMロール 新しいEKSサービスプリンシパル IAMロールの信頼ポリシーに指定する

   新しいEKSサービスプリンシパル “pods.eks.amazonaws.com” EKS API Pod Identity 関連付けを実現するためのAPI群 （AWS CLI や マネージメントコンソールから呼び出される） Pod Identity Agent Add-on Pod Identity 関連付けを実現するために EKSクラスターに導⼊するアドオン EKSクラスターバージョン Amazon EKS バージョン 1.24 以降で動作 AWS SDKバージョン AWS CLIおよび、それぞれのプログラミング⾔語で Pod Identityに対応するAWS SDKバージョンを利⽤ 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 7

8. マネージメントコンソール 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 8 Add-on Pod

   Identity associations

9. IAMロールの信頼ポリシー例 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 9

10. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 10 Amazon EKS Pod

    Identityで何が変わる？ IRSAとの違い 何が変わるのか

11. 運⽤が変わる IAMロールの信頼ポリシーのセットアップは⼀度だけ。 作成したIAMロールを複数のEKSクラスターで簡単に使い回せる。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 11

    EKS OIDC プロバイダー エンドポイントは不要に！

12. 権限制御のルールが変わる セッションタグのサポートによって、 属性ベースのアクセス制御（ABAC）を導⼊可能に 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 12

13. IRSAとの違い • 従来のIAM Roles for Service Accounts（IRSA）も 引き続き利⽤可能。主要な違いは ... •

    EKSクラスターのOIDCプロバイダーエンドポイントでIAMロールの信 頼ポリシーを更新する必要がなくなった。 • つまり、Open ID Connect Provider を作成が不要に • セルフマネージドKubernetesやROSAではPod Identityは未対応 引き続きIRSAを利⽤すればOK • クロスアカウントアクセスの際に リソースポリシーを利⽤することが可能に • セッションタグによる属性ベースのアクセス制御が可能に 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 13

14. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 14 Amazon EKS Blueprints

    におけるアドオン EKS Blueprints みなさん利⽤してますか？

15. Amazon EKS Blueprintsとは Amazon EKS BlueprintsはAmazon EKSの クラスター構築パターンを利⽤して迅速に Amazon EKSをセットアップしてくれるIaCテンプレートです。

    Terraformバージョン、CDKバージョンがあります。 Terraformバージョンがスター数が2Kを越えており激推しです。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 15

16. EKS BlueprintsのAddonモジュール EKSにおけるAdd-onの追加は、Blueprintsにおいては addonsモジュールによって管理されています。 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会

    16

17. Pod IdentityをEKS Blueprintsで 有効化したい！したいですね？ そう思いませんか？ 2024/1/19 AWS re:Invent 2023 re:cap

    LT⼤会 17 Pull RequestによるContributeのチャンスです！ みてみると ...

18. Issueとしては挙がっていました！！ 本IssueはIRSAから Pod Identityに切り替える ことによる破壊的変更に 関するトピックのようです。 2024/1/19 AWS re:Invent 2023

    re:cap LT⼤会 18

19. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 19 まとめ 「Amazon EKS

    Pod Identityで 何が変わるのか」をまとめます

20. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 20 Amazon EKS Pod

    Identityが もたらすもの（再掲） Amazon EKS Pod Identity は EKSクラスターで稼働している アプリケーションがAWSリソース（S3など）に アクセスする⽅法を従来の⽅法より簡素化します！ 利⽤できるEKSクラスターのバージョンや SDKのバージョンなど要件はありますが、条件が合致すれば 積極的に活⽤していきたいですね！

21. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 21 Appendix • EKS

    Pod Identities https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html • Using a supported AWS SDK https://docs.aws.amazon.com/eks/latest/userguide/pod-id-minimum-sdk.html • AWS Blog ① - re:Invent 期間中の発表 https://aws.amazon.com/jp/blogs/aws/amazon-eks-pod-identity-simplifies-iam-permissions-for- applications-on-amazon-eks-clusters/ • AWS Blog ② - 具体例を添えた詳細な記事 https://aws.amazon.com/jp/blogs/containers/amazon-eks-pod-identity-a-new-way-for-applications-on- eks-to-obtain-iam-credentials/

22. 2024/1/19 AWS re:Invent 2023 re:cap LT⼤会 22 ご清聴ありがとう ございました。 ©

    佐藤靖幸 2024