EKS/AKS の Automation Suite のインストールガイド

最終更新日時 2025年5月16日

セキュリティとコンプライアンス

UiPath® サービスのセキュリティコンテキスト

このセクションでは、UiPath® サービスのセキュリティコンテキストについて詳しく説明します。

すべての UiPath® サービスは、 spec セクションで定義されたセキュリティコンテキストを使用して構成されます。

以下のサンプルは、UiPath® サービスの一般的な構成を示しています。

spec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: falsespec:
  securityContext:
    runAsNonRoot: true
    runAsUser: 1000
    runAsGroup: 1000
    fsGroup: 1000
  containers:
    - securityContext:
        allowPrivilegeEscalation: false
        readOnlyRootFilesystem: true
        capabilities:
          drop: ["ALL"]
  hostPID: false
  hostNetwork: false

一部の UiPath® サービスでは、一般的なセキュリティコンテキストの構成とは異なる例外があります。

connector-builder-setup-job サービスのケースでは、readOnlyRootFilesystem パラメーターの値は false です。

場合によっては、環境によっては、ユーザー ID とグループ ID が 1000 以上になることがあります。ユーザー ID とグループ ID は、必ずセキュリティ原則と組織のセキュリティガイドラインに従って構成してください。

Gatekeeper と OPA ポリシー

Automation Suite には、Gatekeeper と OPA ポリシーが事前に構成されています。独自の Gatekeeper コンポーネントと OPA ポリシーを使用する場合は、Automation Suite のインストール時にこれらのコンポーネントをスキップできます。詳しくは、Automation Suite のスタックをご覧ください。この場合、OPA ポリシーと、Automation Suite のインストールと実行に必要な例外を確認してください。

既定では、これらのポリシーは UiPath® 名前空間 (-uipath、uipath-installer、uipath-infra、airflow、および argocd でのみ実行されます。

OPA ポリシー

ポリシー	適用されるアクション	除外される名前空間/イメージ
Allow Privilege Escalation in Container ルート権限へのエスカレーションの制限を制御します。PodSecurityPolicy の `allowPrivilegeEscalation` フィールドに対応します。	`dryrun`	Gatekeeper logging dapr-system kube-system uipath-check 既定 istio-system cert-manager 監視
App Armor コンテナーで使用する AppArmor プロファイルの許可リストを設定します。PodSecurityPolicy に適用される特定の注釈に対応します。	`deny`	Gatekeeper logging dapr-system kube-system 既定 istio-system cert-manager 監視
機能コンテナーでの Linux の機能を制御します。PodSecurityPolicy の `allowedCapabilities` フィールドと `requiredDropCapabilities` フィールドに対応します。	`dryrun`	Gatekeeper logging dapr-system uipath-check kube-system 既定 istio-system cert-manager 監視
FlexVolumes FlexVolume ドライバーの許可リストを制御します。PodSecurityPolicy の `allowedFlexVolumes` フィールドに対応します。	`deny`	Gatekeeper logging dapr-system kube-system 既定 istio-system cert-manager 監視
Forbidden Sysctls	`deny`	Gatekeeper logging dapr-system kube-system 既定 istio-system cert-manager 監視
FS グループポッドのボリュームを所有する FSGroup の割り当てを制御します。PodSecurityPolicy の `fsGroup` フィールドに対応します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
Host Filesystem ホストファイルシステムの使用を制御します。PodSecurityPolicy の `allowedHostPaths` フィールドに対応します。	`dryrun`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視
Host Namespace ポッドコンテナーでホストの PID 名前空間と IPC 名前空間を共有することを禁止します。PodSecurityPolicy の `hostPID` フィールドと `hostIPC` フィールドに対応します。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視
Host Networking Ports ポッドコンテナーによるホストネットワーク名前空間の使用を制御します。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視 uipath-check
Privileged Container 特権モードを有効化するコンテナーの機能を制御します。PodSecurityPolicy の `privileged` フィールドに対応します。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視 uipath-check
Proc Mount コンテナーで許可される `procMount` の種類を制御します。PodSecurityPolicy の `allowedProcMountTypes` フィールドに対応します。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視
Read Only Root Filesystem ポッドコンテナーは読み取り専用のルートファイルシステムを使用する必要があります。	`dryrun`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視 uipath-check
Seccomp コンテナーで使用する seccomp プロファイルを制御します。PodSecurityPolicy の `seccomp.security.alpha.kubernetes.io/allowedProfileNames` 注釈に対応します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
SELinux V2 ポッドコンテナーの seLinuxOptions 設定の許可リストを定義します。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視
Allowed Users コンテナーおよび一部のボリュームのユーザー ID とグループ ID を制御します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow velero uipath-check
Volume Types マウント可能なボリュームの種類を、ユーザーが指定したものに制限します。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視 velero uipath-check

注:

名前空間 dapr-system は、Process Mining と Task Mining をインストールする場合にのみ必要です。
名前空間 airflow は、Process Mining をインストールする場合にのみ必要です。

その他の OPA ポリシー

ポリシー	適用されるアクション	除外される名前空間/イメージ
Automount Service Account Token for Pod `automountServiceAccountToken` を有効化するポッドの機能を制御します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
Allowed Repositories コンテナーイメージは指定したリストの文字列で始まる必要があります。	`dryrun`	registry.uipath.com registry-data.uipath.com
Block Endpoint Edit Default Role	`deny`	N/A
Block Services with type LoadBalancer 種類が LoadBalancer であるサービスをすべて禁止します。	`deny`	kube-system
Block NodePort NodePort のすべてのサービスを禁止します。	`deny`	istio-system network-prereq-checks
Block Wildcard Ingress ユーザーが空白またはワイルドカード (*) のホスト名を持つ Ingress を作成できないようにします。このようなホスト名を使用すると、アクセス権がなくてもクラスター内の他のサービスのトラフィックをインターセプトできるためです。	`deny`	Gatekeeper logging dapr-system kube-system argocd 既定 istio-system cert-manager 監視
Container Limits コンテナーにメモリと CPU の制限を設定する必要があります。制限値を、指定した最大値の範囲内に制限します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
Container Requests コンテナーがメモリと CPU の要件セットを含むよう要求します。要求が指定した最大値の範囲内となるよう強制します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
コンテナーの比率要求に対するコンテナーリソース制限の最大比率を設定します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow prereq**
Required Resources コンテナーに、定義済みのリソースを設定する必要があります。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
Disallow Anonymous Access ClusterRole リソースと Role リソースを `system:anonymous` ユーザーと `system:unauthenticated` グループに関連付けることを禁止します。	`deny`	N/A
Disallow tags コンテナーイメージに、指定したリストのイメージタグとは異なるイメージタグを付ける必要があります。	`deny`	N/A
コンテナーのエフェメラルストレージの制限です。コンテナーにエフェメラルストレージの制限を設定する必要があります。また、その制限値を、指定した最大値の範囲内に制限します。	`dryrun`	Gatekeeper logging dapr-system uipath-installer kube-system UiPath argocd 既定 istio-system cert-manager 監視 airflow uipath-check
Horizontal Pod Autoscaler	`deny`	N/A
HTTPS Only Ingress リソースを HTTPS 専用にする必要があります。Ingress リソースに `kubernetes.io/ingress.allow-http` 注釈を含め、`false` に設定する必要があります。既定では、TLS {} の有効な設定が必要です。`tlsOptional` パラメーターを `true` に設定すると、この設定を任意にすることができます。	`dryrun`	監視
Image Digests コンテナーイメージにダイジェストを含める必要があります。	`dryrun`	UiPath
Block updating Service Account ポッド上で抽象化されたリソースでサービスアカウントの更新をブロックします。このポリシーは監査モードでは無視されます。	`dryrun`	N/A
Pod Disruption Budget	`deny`	airflow
Required Probes ポッドが Readiness Probe および/または Liveness Probe を持つ必要があります。	`dryrun`	UiPath
ストレージクラス使用する場合はストレージクラスを指定する必要があります。	`dryrun`	N/A
Unique Ingress Host すべての Ingress ルールホストが一意である必要があります。	`dryrun`	N/A
Unique Service Selector サービスは名前空間内で一意のセレクターを使用する必要があります。キーと値が同一のセレクターは同じと見なされます。複数のセレクターで 1 つのキー/値のペアを共有できます。ただし、セレクター間で異なるキー/値のペアが 1 つ以上あることが条件です。	`dryrun`	N/A

注:

名前空間 dapr-system は、Process Mining と Task Mining をインストールする場合にのみ必要です。
名前空間 airflow は、Process Mining をインストールする場合にのみ必要です。
prereq** は前提条件の実行または健全性チェックの間に作成される一時的な名前空間です。完了するとこの名前空間は自己削除されます。

ネットワークポリシー

Automation Suite には、最小特権ネットワークアクセスの原則に従うための標準の Kubernetes ネットワークポリシーが事前に構成されています。UiPath が提供するネットワークポリシーのインストールをスキップするには、input.json の exclude components リストに network-policies を追加します。任意のコンポーネントの詳細については、Automation Suite のスタックをご覧ください。

Automation Suite は、<uipath> 名前空間との間で、この名前空間内のネットワークを適用します。独自のネットワークポリシーを利用する場合や、カスタム CNI (Cilium Enterprise や Calico Tigera Enterprise など) を使用している場合は、ポリシーを更新して network-policies Helm チャートを反映させてください。

Automation Suite の network-policies Helm チャートは、次のコマンドを使用して確認できます。

注:

以下のコマンドでは、<automation-suite-version> の部分を現在の Automation Suite のバージョンで置換する必要があります。
Helm チャートを抽出するには、このファイルを解凍する必要があります。

helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

クラスターの特権の要件

管理ノードで uipathctl Automation Suite を専用クラスターにインストールおよび管理するには、クラスター管理者のアクセス権が必要です。Istio (ルーティング/サービスメッシュ) や ArgoCD (デプロイとアプリケーションライフサイクル管理) などの Automation Suite のシステムレベルのコンポーネント、および Automation Suite 関連の名前空間の作成には、このレベルのアクセス権が必要です。共有クラスターの場合、管理者権限は必要ありません。

FIPS 140-2

Federal Information Processing Standards 140-2 (FIPS 140-2) は、暗号化モジュールの有効性を検証するセキュリティ標準です。

の Automation Suite は、FIPS 140-2 が有効化されたマシンで実行できます。

以下のシナリオでは、Automation Suite をインストールするマシンで FIPS 140-2 を有効化できます。

Automation Suite のクリーンインストールを実行する前に、FIPS 140-2 を有効化します。このシナリオは、EKS の Automation Suite と AKS の Automation Suite の両方に適用されます。詳しくは、「新規インストールで FIPS 140-2 を有効化する」を参照してください。
FIPS 140-2 が無効化されているマシンで Automation Suite のインストールを実行した後、FIPS 140-2 を有効化します。詳しくは、「既存のインストールで FIPS 140-2 を有効化する」を参照してください。
手記：このシナリオは、AKS の Automation Suite にのみ適用されます。 EKS の Automation Suite では、FIP 140-2 が無効化された状態で Automation Suite のインストールを完了した場合、FIPS 140-2 を有効化することはできません。

新規インストールで FIPS 140-2 を有効化する

Automation Suite の新規インストールを実行する予定のマシンで FIPS 140-2 を有効化するには、次の手順を実行します。

Automation Suite のインストールを開始する前に、お使いのマシンで FIPS 140-2 を有効化します。
このガイドのインストール手順に従って、Automation Suite のインストールを実行します。
注:
- FIPS 140-2 が有効化されたマシンに AI Center をインストールし、Microsoft SQL Server も使用する場合は、追加の構成が必要です。詳しくは、「AI Center のための SQL の要件」をご覧ください。
- Insights と Integration Service は FIPS 140-2 ではサポートされていないため、無効化されていることを確認してください。
input.json ファイルで fips_enabled_nodes フラグを true に設定します。
証明書が FIPS 140-2 に対応していることを確認します。

注:
Automation Suite では、既定で FIPS 140-2 対応の自己署名証明書が生成されます。この証明書の有効期限は、選択した Automation Suite インストールの種類によって異なります。

これらの自己署名証明書を、インストール時に CA によって発行された証明書に置き換えることを強くお勧めします。 FIPS 140-2 が有効化されたマシンで Automation Suite を使用するには、新たに提供される証明書が FIPS 140-2 に対応している必要があります。 RHEL でサポートされる有効な暗号のリストについては、 RHEL のドキュメントをご覧ください。

独自の FIPS 140-2 準拠のトークン署名および TLS 証明書を追加する方法について詳しくは、「証明書の設定」をご覧ください。
EKS の Automation Suite の場合は、RDS 証明書バンドルのパスを指定する必要があります。 RDS 証明書バンドルのリージョン固有のダウンロードリンクは、 AWS のドキュメントで確認できます。次の例に示すように、input.json構成ファイル内の RDS 証明書バンドル pem ファイルを更新してください。
```
{
  ...
  "additional_ca_certs": "certificates/rds-aws-bundle.pem",
  ...
}{
  ...
  "additional_ca_certs": "certificates/rds-aws-bundle.pem",
  ...
}
```

既存のインストールで FIPS 140-2 を有効化する

FIPS 140-2 を無効にした Automation Suite をインストールし、同じマシンでこのセキュリティ標準を有効化することができます。これは、Automation Suite の新しいバージョンにアップグレードする場合にも可能です。

重要:

現在、AKS の Automation Suite の既存のインストールでは FIPS 140-2 を有効化できますが、EKS の Automation Suite の既存のインストールでは有効化できません。 EKS の Automation Suite に対して FIPS 140-2 を有効化できるのは、Automation Suite のクリーンインストールを実行する前のみです。詳しくは、「新規インストールで FIPS 140-2 を有効化する」を参照してください。

Automation Suite のインストールを既に実行したマシンで FIPS 140-2 を有効化するには、次の手順を実行します。

FIPS 140-2 が無効化されたマシンで、通常の Automation Suite のインストールまたはアップグレード操作を実行します。
すべてのマシンで FIPS 140-2 を有効化します。
証明書が FIPS 140-2 に対応していることを確認します。

注:
FIPS 140-2 が有効化されたマシンで Automation Suite を使用するには、証明書を CA によって署名された新しい FIPS 140-2 対応の証明書に置き換える必要があります。RHEL でサポートされる有効な暗号のリストについては、RHEL のドキュメントをご覧ください。

独自の FIPS 140-2 準拠のトークン署名および TLS 証明書を追加する方法について詳しくは、「証明書の設定」をご覧ください。

証明書の詳細については、以下のページをご覧ください。
製品の選択が FIPS 140-2 の要件に沿っていることを確認します。
- FIPS 140-2 が有効化されたマシンに AI Center をインストールし、Microsoft SQL Server も使用する場合は、追加の構成が必要です。詳しくは、「AI Center のための SQL の要件」をご覧ください。
- Insights または Integration Service を以前に有効化した場合は、FIPS 140-2 ではサポートされていないため、無効化する必要があります。インストール後の製品を無効化する方法について詳しくは、「製品を管理する」をご覧ください。
マシンを再起動し、FIPS 140-2 が正常に有効化されたかどうかを確認します。
uipathctl インストーラーを再実行します。