Mountpoint for Amazon S3 の CSI ドライバーで個別の Kubernetes ポッド用の新しいアクセス制御を導入
Mountpoint for Amazon S3 のコンテナストレージインターフェイス (CSI) ドライバーが、個別の Kubernetes ポッドで異なる AWS Identity and Access Management (IAM) ロールの設定をサポートするようになりました。Mountpoint for Amazon S3 に基づいて構築された CSI ドライバーでは、Amazon Elastic Kubernetes Service (Amazon EKS) やセルフマネージド型の Kubernetes クラスターのコンテナからアクセスできるボリュームとして S3 バケットを表します。各ポッドの IAM ロールを使用して、アプリケーションを変更せずに特定のバケットまたはオブジェクトへのアクセスを制限できるようになりました。
以前は、Kubernetes クラスター内のすべてのポッドに対して CSI ドライバーが使用する IAM ロールを設定できました。今回のリリースにより、ボリュームをアタッチするポッドごとに個別の IAM ロールを使用するように CSI ドライバーを構成することで、マルチテナント環境を構築する際のアプリケーションセキュリティをさらに強化できます。つまり、機械学習やメディアトランスコーディングなどのデータ集約型ジョブを複数のポッドで実行しながら、各ポッドには必要なデータのみをアクセスさせることができるため、結果としてポッド間のデータ分離を実現できます。
Amazon EKS では EKS アドオンとして Mountpoint for Amazon S3 CSI ドライバーをサポートしています。Amazon EKS コンソール、AWS コマンドラインインターフェイス (AWS CLI)、EKS アプリケーションプログラミングインターフェイス (API)、AWS CloudFormation で数回クリックするだけで CSI ドライバーをインストール、設定、更新できます。使用を開始するには、ユーザーガイドを参照してください。