ロールにおける権限
このページでは、Zilliz Cloud がコントロールプレーンのセットアップを代行して実行する際に必要なすべての IAM 権限を一覧表示します。
Zilliz BYOC は現在一般提供されています。アクセスおよび実装の詳細については、Zilliz Cloud の営業担当者までお問い合わせください。
ストレージロールの権限
S3 バケットとストレージロールを作成済みである必要があります。Zilliz Cloud は、コントロールプレーンのセットアップ中に以下の権限を持つこのロールを想定します。
AWS IAM 権限 | AWS リソース | 目的 |
|---|---|---|
s3:Listバケット | バケット | バケットが存在するか確認します。 |
s3:GetObject | バケットオブジェクト | Milvus が S3 バケットからデータを読み取ることを許可します |
s3:PutObject | バケットオブジェクト | Milvus がバケットにデータを書き込むことを許可します |
s3:DeleteObject | バケットオブジェクト | Milvus がデータを削除することを許可します |
EKS ロールの権限
Zilliz Cloud がコントロールプレーンのセットアップ中に EKS クラスターを管理できるよう、以下の権限を持つ EKS ロールを作成済みである必要があります。
AWS 管理権限
これらの権限は AWS によって管理されており、EKS ロールにアタッチできます。各権限の詳細については、Permissions 列の項目をクリックして詳細を確認できます。
権限 | 管理者 | 説明 |
|---|---|---|
AWS | Amazon EC2 Container Registry リポジトリへの読み取り専用アクセスを提供します。 | |
AWS | Amazon VPC CNI プラグイン (amazon-vpc-cni-k8s) が、EKS ワーカーノード上の IP アドレス設定を変更するために必要な権限を提供します。 | |
AWS | Amazon EKS ワーカーノードが Amazon EKS クラスターに接続することを許可します。 | |
AWS | Kubernetes がリソースを代行管理するために必要な権限を提供します。 | |
AWS | VPC リソースコントローラーがワーカーノード用の ENI および IP を管理することを許可します。 |
Kubernetes SIGs からの権限
これらの権限は Kubernetes SIGs リポジトリの貢献者によって管理されています。Zilliz Cloud は、AWS Load Balancer Controller、Amazon EBS CSI ドライバー、および Cluster AutoScaler をインストールするためにこれらの権限を参照します。
以下の表に、特定の権限セットを一覧表示します。各権限の詳細については、Permissions 列の項目をクリックして詳細を確認できます。
権限 | 管理者 | 説明 |
|---|---|---|
Kubernetes SIGs | AWS Load Balancer Controller は、Kubernetes クラスターの Elastic Load Balancers を管理するためのコントローラーです。 AWS Load Balancer Controller リポジトリの詳細については、README ファイルを参照してください。 | |
Kubernetes SIGs | Amazon Elastic Block Store Container Storage Interface (CSI) ドライバーは、コンテナーオーケストレーターが Amazon EBS ボリュームのライフサイクルを管理するために使用する CSI インターフェイスを提供します。 Amazon EBS CSI ドライバーの詳細については、README ファイルを参照してください。 | |
Kubernetes SIGs | Cluster AutoScaler は、すべてのポッドが実行場所を持ち、不要なノードが存在しないように、Kubernetes クラスターのサイズを自動的に調整するコンポーネントです。 AWS 上の Cluster AutoScaler の詳細については、README ファイルを参照してください。 |
クロスアカウントロールの権限
Zilliz Cloud がお客様の EKS クラスター内に BYOC コントロールプレーンをセットアップできるよう、以下の権限を持つクロスアカウントロールを作成済みである必要があります。
AWS IAM 権限 | AWS リソース | 目的 |
|---|---|---|
iam:Getロール | ロール | EKS 作成時に依存するロールを読み取ります。 |
iam:ListAttachedロールポリシー | ポリシー | 依存するロールのポリシーを取得します。 |
iam:Passロール | ロール | EKS がロールを使用することを許可します。 |
iam:UpdateAssumeロールPolicy | IAM ロール | EKS OIDC プロバイダーの信頼ポリシーを更新します。 |
ec2:CreateLaunchTemplate | 起動テンプレート | EKS ノードグループの起動テンプレートを作成します。 |
ec2:RunInstances | インスタンス | EKS ノードグループの AWS インスタンスを起動します。 |
ec2:DeleteLaunchTemplate | 起動テンプレート | 起動テンプレートを削除します。 |
ec2:CreateLaunchTemplateVersion | 起動テンプレート | 起動テンプレートのバージョンを作成します。 |
ec2:Createタグ | タグ | すべての zilliz byoc リソースにタグを追加します |
ec2:Describeアカウント属性 | アカウント | ロール使用時にアカウント ID を確認します。 |
ec2:DescribeInstanceTypes | インスタンス | インスタンスのインスタンスタイプを取得します。 |
ec2:DescribeLaunchTemplateVersions | 起動テンプレート | 起動テンプレートのバージョンを取得します。 |
ec2:DescribeLaunchTemplates | 起動テンプレート | 起動テンプレートが正しく作成されたことを確認します。 |
ec2:Describeサブネット | サブネット | VPC 内にサブネットが存在することを確認します。 |
ec2:DescribeVpcs | VPC | VPC が存在することを確認します。 |
eks:CreateCluster | EKS クラスター | EKS クラスターを作成します。 |
eks:CreateNodegroup | EKS ノードグループ | EKS ノードグループを作成します。 |
eks:CreateAddon | EKS アドオン | EKS アドオンを作成します。 |
eks:CreateAccessEntry | EKS AccessEntry | アクセストエントリにより、IAM プリンシパルがクラスターにアクセスできるようになります。 |
eks:CreatePodIdentityAssociation | EKS PodIdentityAssociation | ポッドが AWS IAM ロールを引き受けることを許可します。 |
eks:AssociateAccessPolicy | ポリシー | アクセスポリシーとそのスコープをアクセストエントリに関連付けます。 |
eks:UpdateAccessEntry | EKS AccessEntry | EKS AccessEntry を更新します。 |
eks:UpdateAddon | EKS アドオン | EKS アドオンを更新します。 |
eks:UpdateClusterConfig | EKS クラスター | EKS の設定を更新します。 |
eks:UpdateClusterVersion | EKS クラスター | EKS のバージョンを更新します。 |
eks:UpdateNodegroupConfig | EKS ノードグループ | EKS ノードグループの設定を更新します。 |
eks:UpdateNodegroupVersion | EKS ノードグループ | EKS ノードグループのバージョンを更新します。 |
eks:UpdatePodIdentityAssociation | ポッドアイデンティティ | EKS ポッドアイデンティティを更新します。 |
eks:TagResource | タグ | すべての EKS リソースにタグを付与します。 |
eks:DescribeCluster | EKS クラスター | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribeNodegroup | EKS ノードグループ | EKS ノードグループが正しく作成されたことを確認します。 |
eks:DescribeAccessEntry | EKS AccessEntry | EKS アクセストエントリが正しく作成されたことを確認します。 |
eks:DescribeAddon | EKS アドオン | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribeAddon設定 | EKS アドオン | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribeAddonVersions | EKS アドオン | EKS クラスターが正しく作成されたことを確認します。 |
eks:DescribePodIdentityAssociation | ポッドアイデンティティ | EKS クラスターが正しく作成されたことを確認します。 |
eks:ListAccessEntries | EKS アクセストエントリ | Zilliz によって作成された EKS のアクセストエントリを取得します。 |
eks:ListAccessポリシー | EKS アクセスポリシー | Zilliz によって作成された EKS のアクセスポリシーを取得します。 |
eks:ListAddons | EKS アドオン | Zilliz によって作成された EKS アドオンを取得します。 |
eks:ListNodegroups | EKS ノードグループ | Zilliz によって作成された EKS ノードグループを取得します。 |
eks:ListUpdates | EKS | Zilliz によって作成された EKS の更新情報を取得します。 |
eks:ListPodIdentityAssociations | ポッドアイデンティティ | Zilliz によって作成されたポッドアイデンティアソシエーションを取得します。 |
eks:ListタグForResource | タグ | Zilliz によって作成されたリソースタグを取得します |
eks:DeleteAccessEntry | EKS Accessentry | Zilliz によって作成された EKS アクセストエントリを削除します。 |
eks:DeleteAddon | EKS アドオン | Zilliz によって作成された EKS アドオンを削除します。 |
eks:DeleteCluster | EKS クラスター | Zilliz によって作成された EKS クラスターを削除します。 |
eks:DeleteFargateプロファイル | EKS | Zilliz によって作成された EKS Fargate プロファイルを削除します。 |
eks:DeleteNodegroup | EKS ノードグループ | Zilliz によって作成された EKS ノードグループを削除します。 |
eks:DeletePodIdentityAssociation | EKS | Zilliz によって作成された EKS ポッドアイデンティティを削除します。 |
s3:GetバケットLocation | バケット | S3 バケットの場所が正しいことを確認します。 |