IAM 정책 - Eksctl 사용 설명서
지원되는 IAM 추가 기능 정책사용자 지정 인스턴스 역할 추가인라인 정책 연결ARN별 정책 연결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

IAM 정책

인스턴스 역할을 노드 그룹에 연결할 수 있습니다. 노드에서 실행되는 워크로드는 노드로부터 IAM 권한을 받습니다. mroe에 대한 자세한 내용은 Amazon EC2의 IAM 역할을 참조하세요.

이 페이지에는 eksctl에서 사용할 수 있는 사전 정의된 IAM 정책 템플릿이 나열되어 있습니다. 이러한 템플릿은 사용자 지정 IAM 정책을 수동으로 생성할 필요 없이 EKS 노드에 적절한 AWS 서비스 권한을 부여하는 프로세스를 간소화합니다.

지원되는 IAM 추가 기능 정책

지원되는 모든 추가 기능 정책의 예:

nodeGroups:
  - name: ng-1
    instanceType: m5.xlarge
    desiredCapacity: 1
    iam:
      withAddonPolicies:
        imageBuilder: true
        autoScaler: true
        externalDNS: true
        certManager: true
        appMesh: true
        appMeshPreview: true
        ebs: true
        fsx: true
        efs: true
        awsLoadBalancerController: true
        xRay: true
        cloudWatch: true

Image Builder 정책

imageBuilder 정책은 전체 ECR(Elastic Container Registry) 액세스를 허용합니다. 이는 예를 들어 이미지를 ECR로 푸시해야 하는 CI 서버를 구축하는 데 유용합니다.

EBS 정책

ebs 정책은 새 EBS CSI(Elastic Block Store Container Storage Interface) 드라이버를 활성화합니다.

Cert Manager 정책

certManager 정책을 사용하면 DNS01 문제를 해결하기 위해 Route 53에 레코드를 추가할 수 있습니다. 자세한 내용은 여기에서 확인할 수 있습니다.

사용자 지정 인스턴스 역할 추가

이 예제에서는 다른 클러스터의 기존 IAM 인스턴스 역할을 재사용하는 노드 그룹을 생성합니다.

apiVersion: eksctl.io/v1alpha4
kind: ClusterConfig
metadata:
  name: test-cluster-c-1
  region: eu-north-1

nodeGroups:
  - name: ng2-private
    instanceType: m5.large
    desiredCapacity: 1
    iam:
      instanceProfileARN: "arn:aws:iam::123:instance-profile/eksctl-test-cluster-a-3-nodegroup-ng2-private-NodeInstanceProfile-Y4YKHLNINMXC"
      instanceRoleARN: "arn:aws:iam::123:role/eksctl-test-cluster-a-3-nodegroup-NodeInstanceRole-DNGMQTQHQHBJ"

인라인 정책 연결

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicy:
        Version: "2012-10-17"
        Statement:
        - Effect: Allow
          Action:
          - 's3:GetObject'
          Resource: 'arn:aws:s3:::example-bucket/*'

ARN별 정책 연결

nodeGroups:
  - name: my-special-nodegroup
    iam:
      attachPolicyARNs:
        - arn:aws:iam::aws:policy/AmazonEKSWorkerNodePolicy
        - arn:aws:iam::aws:policy/AmazonEKS_CNI_Policy
        - arn:aws:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly
        - arn:aws:iam::aws:policy/ElasticLoadBalancingFullAccess
        - arn:aws:iam::1111111111:policy/kube2iam
      withAddonPolicies:
        autoScaler: true
        imageBuilder: true
주의

노드 그룹에이 포함된 경우이 예제AmazonEC2ContainerRegistryReadOnly에서는 AmazonEKSWorkerNodePolicy AmazonEKS_CNI_Policy 및와 같은 기본 노드 정책도 포함해야 attachPolicyARNs 합니다.