このページでは、Zilliz Cloud がお客様に代わってコントロールプレーンのセットアップを実行する際に必要とするすべての IAM 権限を一覧表示します。
Zilliz BYOC は現在 一般提供されています。アクセスおよび実装の詳細については、Zilliz Cloud セールスまでお問い合わせください。
ストレージロールの権限
S3 バケットとストレージロールを作成しました。Zilliz Cloud は、コントロールプレーンのセットアップ中に以下の権限を持つこのロールを引き受けます。
AWS IAM 権限 | AWS リソース | 目的 |
|---|---|---|
s3:Listバケット | バケット | バケットが存在するかどうかを確認します。 |
s3:GetObject | バケットオブジェクト | Milvus が S3 バケットからデータを読み取ることを許可します |
s3:PutObject | バケットオブジェクト | Milvus がバケットにデータを書き込むことを許可します |
s3:DeleteObject | バケットオブジェクト | Milvus がデータを削除することを許可します |
EKS ロールの権限
Zilliz Cloud がコントロールプレーンのセットアップ中に EKS クラスターを管理できるよう、以下の権限を持つ EKS ロールを作成しました。
AWS 管理の権限
これらの権限は AWS によって管理されており、EKS ロールにアタッチできます。これらの権限の詳細については、権限列の項目をクリックして詳細を確認できます。
権限 | 管理元 | 説明 |
|---|---|---|
AWS | Amazon EC2 Container Registry リポジトリへの読み取り専用アクセスを提供します。 | |
AWS | Amazon VPC CNI プラグイン(amazon-vpc-cni-k8s)に、EKS ワーカーノードの IP アドレス設定を変更するために必要な権限を提供します。 | |
AWS | Amazon EKS ワーカーノードが Amazon EKS クラスターに接続できるようにします。 | |
AWS | Kubernetes に、お客様に代わってリソースを管理するために必要な権限を提供します。 | |
AWS | VPC リソースコントローラーがワーカーノードの ENI と IP を管理できるようにします。 |
Kubernetes SIGs の権限
これらの権限は、Kubernetes SIGs リポジトリのコントリビューターによって管理されています。Zilliz Cloud は、AWS Load Balancer Controller、Amazon EBS CSI ドライバー、および Cluster AutoScaler をインストールするためにこれらの権限を参照します。
以下の表に、特定の権限セットを一覧表示します。これらの権限の詳細については、権限列の項目をクリックして詳細を確認できます。
権限 | 管理元 | 説明 |
|---|---|---|
Kubernetes SIGs | AWS Load Balancer Controller は、Kubernetes クラスターの Elastic Load Balancer を管理するのに役立つコントローラーです。 AWS Load Balancer Controller リポジトリの詳細については、README ファイルを参照してください。 | |
Kubernetes SIGs | Amazon Elastic Block Store Container Storage Interface(CSI)ドライバーは、コンテナオーケストレーターが Amazon EBS ボリュームのライフサイクルを管理するために使用する CSI インターフェースを提供します。 Amazon EBS CSI ドライバーの詳細については、README ファイルを参照してください。 | |
Kubernetes SIGs | Cluster AutoScaler は、すべてのポッドが実行する場所を持ち、不要なノードが存在しないように、Kubernetes クラスターのサイズを自動的に調整するコンポーネントです。 AWS 上の Cluster AutoScaler の詳細については、README ファイルを参照してください。 |
クロスアカウントロールの権限
Zilliz Cloud がお客様の EKS クラスターに BYOC コントロールプレーンをセットアップできるよう、以下の権限を持つクロスアカウントロールを作成しました。
AWS IAM 権限 | AWS リソース | 目的 |
|---|---|---|
iam:Getロール | ロール | EKS を作成する際に依存ロールを読み取ります。 |
iam:ListAttachedロールポリシー | ポリシー | 依存ロールのポリシーを取得します。 |
iam:Passロール | ロール | EKS がロールを使用できるようにします。 |
iam:UpdateAssumeロールPolicy | IAM ロール | EKS OIDC プロバイダーの信頼ポリシーを更新します。 |
ec2:CreateLaunchTemplate | 起動テンプレート | EKS ノードグループの起動テンプレートを作成します。 |
ec2:RunInstances | インスタンス | EKS ノードグループの AWS インスタンスを起動します。 |
ec2:DeleteLaunchTemplate | 起動テンプレート | 起動テンプレートを削除します。 |
ec2:CreateLaunchTemplateVersion | 起動テンプレート | 起動テンプレートのバージョンを作成します。 |
ec2:Createタグ | タグ | すべての Zilliz byoc リソースにタグを追加します |
ec2:Describeアカウント属性 | アカウント | ロール使用時にアカウント ID を確認します。 |
ec2:DescribeInstanceTypes | インスタンス | インスタンスのインスタンスタイプを取得します。 |
ec2:DescribeLaunchTemplateVersions | 起動テンプレート | 起動テンプレートのバージョンを取得します。 |
ec2:DescribeLaunchTemplates | 起動テンプレート | 起動テンプレートが正しく作成されたことを確認します。 |
ec2:Describeサブネット | サブネット | サブネットが VPC に存在することを確認します。 |
ec2:DescribeVpcs | VPC | VPC が存在することを確認します。 |
eks:CreateCluster | EKS クラスター | EKS クラスターを作成します。 |
eks:CreateNodegroup | EKS ノードグループ | EKS ノードグループを作成します。 |
eks:CreateAddon | EKS アドオン | EKS アドオンを作成します。 |
eks:CreateAccessEntry | EKS AccessEntry | アクセスエントリにより、IAM プリンシパルがクラスターにアクセスできるようになります。 |
eks:CreatePodIdentityAssociation | EKS PodIdentityAssociation | ポッドが AWS IAM ロールを引き受けることを許可します。 |
eks:AssociateAccessPolicy | ポリシー | アクセスポリシーとそのスコープをアクセスエントリに関連付けます。 |
eks:UpdateAccessEntry | EKS AccessEntry | EKS AccessEntry を更新します。 |
eks:UpdateAddon | EKS アドオン | EKS アドオンを更新します。 |
eks:UpdateClusterConfig | EKS クラスター | EKS の設定を更新します。 |
eks:UpdateClusterVersion | EKS クラスター | EKS のバージョンを更新します。 |
eks:UpdateNodegroupConfig | EKS ノードグループ | EKS ノードグループの設定を更新します。 |
eks:UpdateNodegroupVersion | EKS ノードグループ | EKS ノードグループのバージョンを更新します。 |
eks:UpdatePodIdentityAssociation | ポッドアイデンティティ | EKS ポッドアイデンティティを更新します。 |
eks:TagResource | タグ | すべての EKS リソースにタグを付けます。 |
eks:DescribeCluster | EKS クラスター | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribeNodegroup | EKS ノードグループ | EKS ノードグループが正しく作成されたことを確認します。 |
eks:DescribeAccessEntry | EKS AccessEntry | EKS アクセスエントリが正しく作成されたことを確認します。 |
eks:DescribeAddon | EKS アドオン | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribeAddon設定 | EKS アドオン | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribeAddonVersions | EKS アドオン | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribePodIdentityAssociation | ポッドアイデンティティ | EKS クラスターが正しく作成されたことを確認します。 |
eks:ListAccessEntries | EKS アクセスエントリ | Zilliz が作成した EKS のアクセスエントリを取得します。 |
eks:ListAccessポリシー | EKS アクセスポリシー | Zilliz が作成した EKS のアクセスポリシーを取得します。 |
eks:ListAddons | EKS アドオン | Zilliz が作成した EKS アドオンを取得します。 |
eks:ListNodegroups | EKS ノードグループ | Zilliz が作成した EKS ノードグループを取得します。 |
eks:ListUpdates | EKS | Zilliz が作成した EKS の更新を取得します。 |
eks:ListPodIdentityAssociations | ポッドアイデンティティ | Zilliz が作成したポッドアイデンティティの関連付けを取得します。 |
eks:ListタグForResource | タグ | Zilliz が作成したリソースのタグを取得します |
eks:DeleteAccessEntry | EKS アクセスエントリ | Zilliz が作成した EKS アクセスエントリを削除します。 |
eks:DeleteAddon | EKS アドオン | Zilliz が作成した EKS アドオンを削除します。 |
eks:DeleteCluster | EKS クラスター | Zilliz が作成した EKS クラスターを削除します。 |
eks:DeleteFargateプロファイル | EKS | Zilliz が作成した EKS Fargate プロファイルを削除します。 |
eks:DeleteNodegroup | EKS ノードグループ | Zilliz が作成した EKS ノードグループを削除します。 |
eks:DeletePodIdentityAssociation | EKS | Zilliz が作成した EKS ポッドアイデンティティを削除します。 |
s3:GetバケットLocation | バケット | S3 バケットの場所が正しいことを確認します。 |