IAM 사용자 및 역할 관리

참고

AWS는 ConfigMapEKS Pod Identity 연결에서 aws-auth 로 마이그레이션할 것을 제안합니다.

EKS 클러스터는 IAM 사용자 및 역할을 사용하여 클러스터에 대한 액세스를 제어합니다. 규칙은 구성 맵에서 구현됩니다.

CLI 명령을 사용하여 ConfigMap 편집

는를 호출했습니다aws-auth. eksctl는이 구성 맵을 읽고 편집하는 명령을 제공합니다.

모든 자격 증명 매핑 가져오기:

eksctl get iamidentitymapping --cluster <clusterName> --region=<region>

ARN과 일치하는 모든 자격 증명 매핑 가져오기:

eksctl get iamidentitymapping --cluster <clusterName> --region=<region> --arn arn:aws:iam::123456:role/testing-role

자격 증명 매핑 생성:

 eksctl create iamidentitymapping --cluster  <clusterName> --region=<region> --arn arn:aws:iam::123456:role/testing --group system:masters --username admin

자격 증명 매핑을 삭제합니다.

eksctl delete iamidentitymapping --cluster  <clusterName> --region=<region> --arn arn:aws:iam::123456:role/testing

참고

위 명령은이 --all 제공되지 않는 한 단일 매핑 FIFO를 삭제합니다.이 경우 일치하는 항목을 모두 제거합니다. 이 역할과 일치하는 더 많은 매핑이 발견되면 경고합니다.

계정 매핑 생성:

 eksctl create iamidentitymapping --cluster  <clusterName> --region=<region> --account user-account

계정 매핑 삭제:

 eksctl delete iamidentitymapping --cluster  <clusterName> --region=<region> --account user-account

ClusterConfig 파일을 사용하여 ConfigMap 편집

자격 증명 매핑은 ClusterConfig에서도 지정할 수 있습니다.

---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-with-iamidentitymappings
  region: us-east-1

iamIdentityMappings:
  - arn: arn:aws:iam::000000000000:role/myAdminRole
    groups:
      - system:masters
    username: admin
    noDuplicateARNs: true # prevents shadowing of ARNs

  - arn: arn:aws:iam::000000000000:user/myUser
    username: myUser
    noDuplicateARNs: true # prevents shadowing of ARNs

  - serviceName: emr-containers
    namespace: emr # serviceName requires namespace

  - account: "000000000000" # account must be configured with no other options

nodeGroups:
  - name: ng-1
    instanceType: m5.large
    desiredCapacity: 1

 eksctl create iamidentitymapping -f cluster-with-iamidentitymappings.yaml