ロール内の権限
このページでは、Zilliz Cloudがあなたの代わりに操作を実行するために必要なすべてのIAM権限がリストされています。
Zilliz BYOCは現在一般提供中です。アクセスと実装の詳細については、Zilliz Cloudサポートにお問い合わせください。
ストレージロールの権限
S 3バケットとストレージロールを作成しました。Zilliz Cloudは以下の権限でこのロールを担います。
AWS IAMのパーミッション | AWSリソース | 目的 |
|---|---|---|
s3:ListBucket | バケット | バケットが存在するかどうかを確認します。 |
s3:GetObject | Bucketオブジェクト | MilvusがS 3バケットからデータを読み取れるようにする |
s3:PutObject | Bucketオブジェクト | Milvusがバケットにデータを書き込むことを許可します |
s3:DeleteObject | Bucketオブジェクト | Milvusがデータを削除できるようにする |
EKSロールの権限
Zilliz CloudでEKSクラスターを管理するために、次の権限を持つEKSロールを作成しました。
AWSが管理する権限
これらの権限はAWSによって管理され、EKSロールに関連付けることができます。各権限の詳細については、[権限]列の項目をクリックして詳細を確認してください。
アクセス許可 | 管理する | 説明する |
|---|---|---|
AWS | Amazon EC 2 Container Registryリポジトリへの読み取り専用アクセスを提供します。 | |
AWS | Amazon VPC CNIプラグイン(amazon-vpc-cni-k 8 s)に、EKSワーカーノードのIPアドレス設定を変更するために必要な権限を提供します。 | |
AWS | Amazon EKSワーカーノードがAmazon EKSクラスターに接続できるようにします。 | |
AWS | あなたの代わりにリソースを管理するために必要な権限をKubernetesに提供します。 | |
AWS | VPCリソースコントローラーがワーカーノードのENIとIPを管理できるようにします。 |
Kubernetes SIGsからの権限
これらの権限は、Kubernetes SIGsリポジトリのコントリビューターによって管理されています。Zilliz Cloudは、AWS Load Balancer Controller、Amazon EBS CSIドライバー、およびCluster AutoScalerをインストールするための権限を参照しています。
次の表に、特定の権限セットを示します。各権限の詳細については、「権限」列の項目をクリックして詳細を確認できます。
アクセス許可 | 管理する | 説明する |
|---|---|---|
KubernetesのSIGs | AWSロードバランサーコントローラーは、KubernetesクラスターのElastic Load Balancerを管理するためのコントローラーです。 AWSロードバランサーコントローラーリポジトリの詳細については、READMEファイルを参照してください。 | |
KubernetesのSIGs | Amazon Elastic Block Store Container Storage Interface(CSI)ドライバーは、コンテナオーケストレーターがAmazon EBSボリュームのライフサイクルを管理するために使用するCSIインターフェースを提供します。 Amazon EBS CSIドライバーの詳細については、READMEファイルを参照してください。 | |
KubernetesのSIGs | Cluster AutoScalerは、Kubernetes Clusterの体格を自動的に調整するコンポーネントで、すべてのポッドが実行可能になり、不要なノードがなくなるように置く。 AWS上のCluster AutoScalerの詳細については、READMEファイルを参照してください。 |
クロスアカウントのロール権限
Zilliz CloudがEKSクラスターにBYOCソリューションをデプロイするために、次の権限を持つクロスアカウントロールを作成しました。
AWS IAMのパーミッション | AWSリソース | 目的 |
|---|---|---|
iam:GetRole | Role | EKSを作成する際に、依存する役割を読んでください。 |
iam:ListAttachedRolePolicies | Policy | 依存ロールのポリシーを取得します。 |
iam:PassRole | Role | EKSにロールの使用を許可します。 |
iam:UpdateAssumeRolePolicy | IAM Role | EKS OIDCプロバイダーの信頼ポリシーを更新します。 |
ec2:CreateLaunchTemplate | Launch Template | EKS nodegroupの起動テンプレートを作成します。 |
ec2:RunInstances | Instance | EKSノードグループのAWSインスタンスを起動します。 |
ec2:DeleteLaunchTemplate | Launch Template | 一時的な起動を削除します。 |
ec2:CreateLaunchTemplateVersion | Launch Template | Launch Templateのバージョンを作成します。 |
ec2:CreateTags | Tags | zilliz byocリソースにタグを追加 |
ec2:DescribeAccountAttributes | Account | ロールを使用する際にアカウントIDを確認してください。 |
ec2:DescribeInstanceTypes | Instance | インスタンスの型を取得します。 |
ec2:DescribeLaunchTemplateVersions | Launch Template | 起動テンプレートのバージョンを取得します。 |
ec2:DescribeLaunchTemplates | Launch Template | 起動テンプレートが正しく作成されていることを確認します。 |
ec2:DescribeSubnets | Subnets | サブネットがVPCに存在することを確認します。 |
ec2:DescribeVpcs | VPC | VPCが存在することを確認します。 |
eks:CreateCluster | EKS cluster | EKSクラスタを作成します。 |
eks:CreateNodegroup | EKS nodegroup | EKSノードグループを作成します。 |
eks:CreateAddon | EKS addons | EKSアドオンを作成します。 |
eks:CreateAccessEntry | EKS AccessEntry | アクセスエントリを使用すると、IAMプリンシパルがクラスターにアクセスできます。 |
eks:CreatePodIdentityAssociation | EKS PodIdentityAssociation | ポッドにAWS IAMロールを割り当てます。 |
eks:AssociateAccessPolicy | Policy | アクセスエントリにアクセスポリシーとそのスコープを関連付けます。 |
eks:UpdateAccessEntry | EKS AccessEntry | EKS AccessEntryを更新します。 |
eks:UpdateAddon | EKS addons | EKSアドオンを更新します。 |
eks:UpdateClusterConfig | EKS cluster | EKSの設定を更新してください。 |
eks:UpdateClusterVersion | EKS cluster | EKSのバージョンを更新してください。 |
eks:UpdateNodegroupConfig | EKS nodegroup | EKS nodegroupの設定を更新します。 |
eks:UpdateNodegroupVersion | EKS nodegroup | EKS nodegroupのバージョンを更新します。 |
eks:UpdatePodIdentityAssociation | Pod identity | EKSポッドIDを更新します。 |
eks:TagResource | Tags | すべてのeksリソースにタグを付けます。 |
eks:DescribeCluster | EKS cluster | EKSクラスターが正しく作成されていることを確認します。 |
eks:DescribeNodegroup | EKS nodegroup | EKSノードグループが正しく作成されていることを確認します。 |
eks:DescribeAccessEntry | EKS AccessEntry | EKSアクセサリーが正しく作成されていることを確認します。 |
eks:DescribeAddon | EKS Addon | EKSクラスターが正しく作成されていることを確認します。 |
eks:DescribeAddonConfiguration | EKS addons | EKSクラスターが正しく作成されていることを確認します。 |
eks:DescribeAddonVersions | EKS addons | EKSクラスターが正しく作成されていることを確認します。 |
eks:DescribePodIdentityAssociation | Pod identity | EKSクラスターが正しく作成されていることを確認します。 |
eks:ListAccessEntries | EKS accessentry | Zillizが作成したEKSのアクセスエントリを取得してください。 |
eks:ListAccessPolicies | EKS access policy | Zillizが作成したEKSのアクセスポリシーを取得してください。 |
eks:ListAddons | EKS addons | Zillizが作成したEKSアドオンを入手してください。 |
eks:ListNodegroups | EKS node group | Zillizが作成したEKSノードグループを取得します。 |
eks:ListUpdates | EKS | Zillizが作成したEKSのアップデートを取得してください。 |
eks:ListPodIdentityAssociations | Pod identity | Zillizによって作成されたポッドID関連付けを取得してください。 |
eks:ListTagsForResource | Tags | Zillizによって作成されたリソースタグを取得する |
eks:DeleteAccessEntry | EKS Accessentry | Zillizによって作成されたEKSアクセスエントリを削除します。 |
eks:DeleteAddon | EKS addons | Zillizによって作成されたEKSアドオンを削除してください。 |
eks:DeleteCluster | EKS cluster | Zillizによって作成されたEKSクラスタを削除します。 |
eks:DeleteFargateProfile | EKS | Zillizによって作成されたEKSファーゲートプロファイルを削除してください。 |
eks:DeleteNodegroup | EKS nodegroup | Zillizが作成したEKSノードグループを削除します。 |
eks:DeletePodIdentityAssociation | EKS | Zillizによって作成されたEKSポッドIDを削除します。 |
s3:GetBucketLocation | Bucket | S 3バケットの位置が正しいことを確認します。 |