IAM 권한 경계

권한 경계는 자격 증명 기반 정책이 IAM 엔터티에 부여할 수 있는 최대 권한이 설정된 고급 AWS IAM 기능입니다. 여기서 해당 엔터티는 사용자 또는 역할입니다. 엔터티에 대한 권한 경계가 설정되면 해당 엔터티는 자격 증명 기반 정책과 권한 경계 모두에서 허용되는 작업만 수행할 수 있습니다.

eksctl에서 생성한 모든 자격 증명 기반 엔터티가 해당 경계 내에 생성되도록 권한 경계를 제공할 수 있습니다. 이 예제에서는 eksctl에서 생성한 다양한 자격 증명 기반 엔터티에 권한 경계를 제공하는 방법을 보여줍니다.

apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

주의

역할 ARN과 권한 경계를 모두 제공할 수는 없습니다.

VPC CNI 권한 경계 설정

OIDC가 활성화된 클러스터를 생성하면 eksctl은 보안상의 이유로 VPC-CNI에 iamserviceaccount 대한를 자동으로 생성합니다. 권한 경계를 추가하려면 구성 파일iamserviceaccount에서를 수동으로 지정해야 합니다.

iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"