AWS IAMロール
Bootstrap IAM ロール
- EC2 および VPC の操作: VPC と EKS クラスターのセットアップに必要です。
- S3 の操作 (例:
s3:CreateBucket) : ClickHouse BYOC ストレージ用のバケットを作成するために必要です。 - IAM の操作 (例:
iam:CreatePolicy) : コントローラーが追加のロールを作成するために必要です (詳細は次のセクションを参照してください) 。 - EKS の操作: 名前が
clickhouse-cloudプレフィックスで始まるリソースに限定されます。
コントローラーによって追加で作成される IAM ロール
ClickHouseManagementRole に加えて、コントローラーはいくつかの追加のロールも作成します。
これらのロールは、お客様の EKS クラスター内で実行されるアプリケーションが引き受けることを想定しています。
- State Exporter Role
- サービスの正常性情報を ClickHouse Cloud に報告する ClickHouse コンポーネントです。
- ClickHouse Cloud が所有する SQS キューへの書き込み権限が必要です。
- Load-Balancer Controller
- 標準的な AWS ロードバランサーコントローラーです。
- ClickHouse サービスのボリュームを管理する EBS CSI コントローラーです。
- External-DNS
- DNS 設定を Route 53 に反映します。
- Cert-Manager
- BYOC サービスのドメイン向けに TLS 証明書を発行します。
- Cluster Autoscaler
- 必要に応じてノードグループのサイズを調整します。
data-plane-mgmt は、ClickHouseCluster や Istio の Virtual Service/Gateway など、必要なカスタムリソースを ClickHouse Cloud のコントロールプレーンコンポーネントがリコンサイルできるようにします。