Q26 — AWS DOP-C02 第3章

第 26/100 問 | ← 第3章

ある企業が、Amazon EKS(Amazon Elastic Kubernetes Service)上でアプリケーションを実行しています。EKSクラスターは複数のPodを正常に実行しています。同社は、PodイメージをAmazon ECR(Amazon Elastic Container Registry)に保存しています。 企業はEKSクラスターに対してPod IDアクセスを構成する必要があります。すでにノードのIAMロールを更新し、Pod IDアクセスを有効化しています。 これらの要件を満たすソリューションはどれですか?

正解: A. EKSクラスター用のIAM OpenID Connect(OIDC)プロバイダーを作成します。

解説

AWS EKSにおけるPod IDアクセスの構成には、IAM Roles for Service Accounts(IRSA)が推奨されます。この機能はクラスターのOIDCプロバイダーに依存しており、AWS公式ドキュメントでは、IRSAを利用するためにはまずEKSクラスターでOIDCプロバイダーを有効化することが前提条件と明記されています。これにより、KubernetesサービスアカウントとIAMロールを直接関連付けることができます。選択肢Bは既に非推奨となったkiamまたはkube2iamに基づく手法であり、選択肢Cの「クラスター認証モード」はノードレベルの認証に関係し、選択肢DのSTSエンドポイント構成はIRSA実装の一部手順であって、基本的な構成ではありません。正解はAであり、これはAWSによるIRSA実装の基盤となるインフラ要件を満たします。