Q26 — AWS DOP-C02 第3章
第 26/100 問 | ← 第3章
ある企業が、Amazon EKS(Amazon Elastic Kubernetes Service)上でアプリケーションを実行しています。EKSクラスターは複数のPodを正常に実行しています。同社は、PodイメージをAmazon ECR(Amazon Elastic Container Registry)に保存しています。 企業はEKSクラスターに対してPod IDアクセスを構成する必要があります。すでにノードのIAMロールを更新し、Pod IDアクセスを有効化しています。 これらの要件を満たすソリューションはどれですか?
- A. EKSクラスター用のIAM OpenID Connect(OIDC)プロバイダーを作成します。 ✓
- B. ノードがEKS APIに到達できることを確認します。EKSクラスターにEKPOD IDエージェントプラグインを追加および構成します。
- C. EKSアクセスエントリを作成し、APIサーバーとクラスター認証モードを設定します。
- D. EKSクラスター内のスケーリングに使用されるKubernetesサービスアカウントに対して、AWS Security Token Service(AWS STS)エンドポイントを構成します。
正解: A. EKSクラスター用のIAM OpenID Connect(OIDC)プロバイダーを作成します。
解説
AWS EKSにおけるPod IDアクセスの構成には、IAM Roles for Service Accounts(IRSA)が推奨されます。この機能はクラスターのOIDCプロバイダーに依存しており、AWS公式ドキュメントでは、IRSAを利用するためにはまずEKSクラスターでOIDCプロバイダーを有効化することが前提条件と明記されています。これにより、KubernetesサービスアカウントとIAMロールを直接関連付けることができます。選択肢Bは既に非推奨となったkiamまたはkube2iamに基づく手法であり、選択肢Cの「クラスター認証モード」はノードレベルの認証に関係し、選択肢DのSTSエンドポイント構成はIRSA実装の一部手順であって、基本的な構成ではありません。正解はAであり、これはAWSによるIRSA実装の基盤となるインフラ要件を満たします。