ロールの権限
このページでは、Zilliz Cloud が代理で操作を実行するために必要なすべてのIAM権限を一覧表示します。
Zilliz BYOC は現在、一般提供されています。アクセスおよび実装の詳細については、Zilliz Cloud 営業担当にお問い合わせください。
ストレージロールの権限
S3バケットとストレージロールを作成しました。Zilliz Cloud は、以下の権限を持つこのロールを想定します。
AWS IAM権限 | AWSリソース | 目的 |
|---|---|---|
s3:ListBucket | バケット | バケットが存在するかどうかを確認します。 |
s3:GetObject | バケットオブジェクト | Milvus が S3 バケットからデータを読み取ることを許可します |
s3:PutObject | バケットオブジェクト | Milvus がバケットにデータを書き込むことを許可します |
s3:DeleteObject | バケットオブジェクト | Milvus がデータを削除することを許可します |
EKSロールの権限
Zilliz Cloud が EKS クラスターを管理するために、以下の権限を持つ EKS ロールを作成しました。
AWS管理の権限
これらの権限は AWS によって管理され、EKS ロールに添付できます。これらの各権限の詳細については、権限 列の項目をクリックして詳細を確認できます。
権限 | 管理元 | 説明 |
|---|---|---|
AWS | Amazon EC2 コンテナレジストリリポジトリへの読み取り専用アクセスを提供します。 | |
AWS | Amazon VPC CNIプラグイン (amazon-vpc-cni-k8s) がEKSワーーカーノードのIPアドレス構成を変更するために必要な権限を提供します。 | |
AWS | Amazon EKS ワーカーノードがAmazon EKS クラスターに接続できるようにします。 | |
AWS | Kubernetes がリソースを代理で管理するために必要な権限を提供します。 | |
AWS | VPC リソースコントローラーがワーカーノードのENIおよびIPを管理できるようにします。 |
Kubernetes SIGs からの権限
これらの権限は Kubernetes SIGs リポジトリの貢献者によって管理されます。Zilliz Cloud は、AWS ロードバランサーコントローラー、Amazon EBS CSI ドライバー、およびクラスターオートスケーラーをインストールするための権限を参照しています。
以下の表は、特定の権限セットを一覧表示します。これらの各権限の詳細については、権限 列の項目をクリックして詳細を確認できます。
権限 | 管理元 | 説明 |
|---|---|---|
Kubernetes SIGs | AWS ロードバランサーコントローラーは、Kubernetes クラスター用のElastic Load Balancerを管理するのを助けるコントローラーです。 AWS ロードバランサーコントローラーリポジトリの詳細については、README ファイルを参照してください。 | |
Kubernetes SIGs | Amazon Elastic Block Store Container Storage Interface (CSI) ドライバーは、コンテナオーケストレーターがAmazon EBSボリュームのライフサイクルを管理するために使用されるCSIインターフェースを提供します。 Amazon EBS CSIドライバーの詳細については、README ファイルを参照してください。 | |
Kubernetes SIGs | クラスターオートスケーラーは、すべてのポッドが実行できる場所があり、不要なノードがないようにKubernetesクラスターのサイズを自動的に調整するコンポーネントです。 AWSでのクラスターオートスケーラーの詳細については、README ファイルを参照してください。 |
クロスアカウントロールの権限
Zilliz Cloud が EKS クラスターで BYOC ソリューションを展開するために、以下の権限を持つクロスアカウントロールを作成しました。
AWS IAM権限 | AWSリソース | 目的 |
|---|---|---|
iam:GetRole | ロール | EKS作成時に依存ロールを読み取ります。 |
iam:ListAttachedRolePolicies | ポリシー | 依存ロールのポリシーを取得します。 |
iam:PassRole | ロール | EKSがロールを使用することを許可します。 |
iam:UpdateAssumeRolePolicy | IAMロール | EKS OIDCプロバイダーの信頼ポリシーを更新します。 |
ec2:CreateLaunchTemplate | 起動テンプレート | EKSノードグループの起動テンプレートを作成します。 |
ec2:RunInstances | インスタンス | EKSノードグループのAWSインスタンスを起動します。 |
ec2:DeleteLaunchTemplate | 起動テンプレート | 起動テンプレートを削除します。 |
ec2:CreateLaunchTemplateVersion | 起動テンプレート | 起動テンプレートのバージョンを作成します。 |
ec2:CreateTags | タグ | すべてのzilliz byocリソースにタグを追加します |
ec2:DescribeAccountAttributes | アカウント | ロール使用時にアカウントIDを確認します。 |
ec2:DescribeInstanceTypes | インスタンス | インスタンスのインスタンスタイプを取得します。 |
ec2:DescribeLaunchTemplateVersions | 起動テンプレート | 起動テンプレートのバージョンを取得します。 |
ec2:DescribeLaunchTemplates | 起動テンプレート | 起動テンプレートが正しく作成されたことを確認します。 |
ec2:DescribeSubnets | サブネット | VPC内にサブネットが存在することを確認します。 |
ec2:DescribeVpcs | VPC | VPCが存在することを確認します。 |
eks:CreateCluster | EKSクラスター | EKSクラスターを作成します。 |
eks:CreateNodegroup | EKSノードグループ | EKSノードグループを作成します。 |
eks:CreateAddon | EKSアドオン | EKSアドオンを作成します。 |
eks:CreateAccessEntry | EKS AccessEntry | アクセスエントリーにより、IAMプリンシパルがクラスターにアクセスできるようになります。 |
eks:CreatePodIdentityAssociation | EKS PodIdentityAssociation | ポッドがAWS IAMロールを想定することを許可します。 |
eks:AssociateAccessPolicy | ポリシー | アクセスポリシーとそのスコープをアクセスエントリーに関連付けます。 |
eks:UpdateAccessEntry | EKS AccessEntry | EKS AccessEntry を更新します。 |
eks:UpdateAddon | EKSアドオン | EKSアドオンを更新します。 |
eks:UpdateClusterConfig | EKSクラスター | EKSの構成を更新します。 |
eks:UpdateClusterVersion | EKSクラスター | EKSのバージョンを更新します。 |
eks:UpdateNodegroupConfig | EKSノードグループ | EKSノードグループの構成を更新します。 |
eks:UpdateNodegroupVersion | EKSノードグループ | EKSノードグループのバージョンを更新します。 |
eks:UpdatePodIdentityAssociation | ポッドアイデンティティ | EKSポッドアイデンティティを更新します。 |
eks:TagResource | タグ | すべてのeksリソースにタグを付けます。 |
eks:DescribeCluster | EKSクラスター | EKSクラスターが正しく作成されたことを確認します。 |
eks:DescribeNodegroup | EKSノードグループ | EKSノードグループが正しく作成されたことを確認します。 |
eks:DescribeAccessEntry | EKS AccessEntry | EKS accessentryが正しく作成されたことを確認します。 |
eks:DescribeAddon | EKSアドオン | EKSクラスターが正しく作成されたことを確認します。 |
eks:DescribeAddonConfiguration | EKSアドオン | EKSクラスターが正しく作成されたことを確認します。 |
eks:DescribeAddonVersions | EKSアドオン | EKSクラスターが正しく作成されたことを確認します。 |
eks:DescribePodIdentityAssociation | ポッドアイデンティティ | EKSクラスターが正しく作成されたことを確認します。 |
eks:ListAccessEntries | EKS accessentry | Zillizによって作成されたEKSのアクセスエントリーを取得します。 |
eks:ListAccessPolicies | EKSアクセスポリシー | Zillizによって作成されたEKSのアクセスポリシーを取得します。 |
eks:ListAddons | EKSアドオン | Zillizによって作成されたEKSアドオンを取得します。 |
eks:ListNodegroups | EKSノードグループ | Zillizによって作成されたEKSノードグループを取得します。 |
eks:ListUpdates | EKS | Zillizによって作成されたEKSの更新を取得します。 |
eks:ListPodIdentityAssociations | ポッドアイデンティティ | Zillizによって作成されたポッドアイデンティティ関連を取得します。 |
eks:ListTagsForResource | タグ | Zillizによって作成されたリソースタグを取得します |
eks:DeleteAccessEntry | EKS Accessentry | Zillizによって作成されたEKSアクセスエントリーを削除します。 |
eks:DeleteAddon | EKSアドオン | Zillizによって作成されたEKSアドオンを削除します。 |
eks:DeleteCluster | EKSクラスター | Zillizによって作成されたEKSクラスターを削除します。 |
eks:DeleteFargateProfile | EKS | Zillizによって作成されたEKS fargateプロファイルを削除します。 |
eks:DeleteNodegroup | EKSノードグループ | Zillizによって作成されたEKSノードグループを削除します。 |
eks:DeletePodIdentityAssociation | EKS | Zillizによって作成されたEKSポッドアイデンティティを削除します。 |
s3:GetBucketLocation | バケット | S3バケットの場所が正しいことを確認します。 |