EKS 액세스 항목을 사용한 IAM 사용자에게 Kubernetes에 대한 액세스 권한 부여 - Amazon EKS

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

EKS 액세스 항목을 사용한 IAM 사용자에게 Kubernetes에 대한 액세스 권한 부여

이 섹션은 액세스 항목 및 정책을 사용하여 Amazon EKS(Elastic Kubernetes Service)의 Kubernetes 클러스터에 대한 IAM 보안 주체 액세스를 관리하는 방법을 보여주도록 설계되었습니다. 인증 모드 변경, 레거시 aws-auth ConfigMap 항목에서의 마이그레이션, 액세스 항목 생성, 업데이트 및 삭제, 정책과 항목 연결, 사전 정의된 정책 권한 검토, 보안 액세스 관리의 주요 사전 조건 및 고려 사항과 관련된 세부 정보를 확인할 수 있습니다.

개요

EKS 액세스 항목은 사용자에게 Kubernetes API에 대한 액세스 권한을 부여하는 가장 좋은 방법입니다. 예를 들어 액세스 항목을 사용하여 개발자에게 kubectl을 사용할 수 있는 액세스 권한을 부여할 수 있습니다. 기본적으로 EKS 액세스 항목은 Kubernetes 권한 세트를 IAM 역할과 같은 IAM 자격 증명에 연결합니다. 예를 들어 개발자는 IAM 역할을 수임하고 이를 사용하여 EKS 클러스터에 대해 인증할 수 있습니다.

Features

  • 중앙 집중식 인증 및 권한 부여: Amazon EKS API를 통해 Kubernetes 클러스터 액세스를 직접 제어하므로 사용자 권한에 있어 AWS와 Kubernetes API 간에 전환할 필요가 없습니다.

  • 세분화된 권한 관리: 생성자로부터 클러스터 관리자 액세스 수정 또는 취소를 비롯해 AWS IAM 보안 주체의 세분화된 권한을 정의하는 액세스 항목 및 정책을 사용합니다.

  • IaC 도구 통합: AWS CloudFormation, Terraform 및 AWS CDK와 같은 코드형 인프라 도구와의 통합으로 클러스터 생성 도중 액세스 구성 정의가 지원됩니다.

  • 잘못된 구성 복구: 직접 Kubernetes API 액세스 없이 Amazon EKS API를 통해 클러스터 액세스를 복원할 수 있습니다.

  • 오버헤드 감소 및 보안 강화: CloudTrail 감사 로깅 및 다중 인증과 같은 AWS IAM 기능을 활용하면서 작업을 중앙 집중화하여 오버헤드를 줄입니다.

권한 연결 방법

두 가지 방법으로 액세스 항목에 Kubernetes 권한을 연결할 수 있습니다.

  • 액세스 정책을 추가합니다. 액세스 정책은 AWS에서 유지 관리하는 사전 정의된 Kubernetes 권한 템플릿입니다. 자세한 내용은 액세스 정책 권한 검토 섹션을 참조하세요.

  • Kubernetes 그룹을 참조합니다. IAM 자격 증명을 Kubernetes 그룹에 연결하는 경우 그룹 권한을 부여하는 Kubernetes 리소스를 생성할 수 있습니다. 자세한 내용은 Kubernetes 문서의 Using RBAC Authorization(RBAC 승인 사용)을 참조하십시오.

고려 사항

기존 클러스터에서 EKS 액세스 항목을 활성화할 때 유의해야 할 사항:

  • 레거시 클러스터 동작: 액세스 항목 도입 전에 생성된 클러스터(초기 플랫폼 버전이 플랫폼 버전 요구 사항에 지정된 버전보다 낮은 클러스터)의 경우 EKS는 기존 권한을 반영하는 액세스 항목을 자동으로 생성합니다. 이 항목에는 기존 클러스터를 생성한 IAM ID와 클러스터 생성 중에 해당 ID에 부여된 관리 권한이 포함됩니다.

  • 레거시 aws-auth ConfigMap 처리: 클러스터가 액세스 관리에 레거시 aws-auth ConfigMap을 사용하는 경우 액세스 항목을 활성화하면 기존 클러스터 생성자의 액세스 항목만 자동으로 생성됩니다. ConfigMap에 추가된 추가 역할 또는 권한(예: 개발자 또는 서비스에 대한 사용자 지정 IAM 역할)은 자동으로 마이그레이션되지 않습니다. 이 문제를 해결하려면 해당 액세스 항목을 수동으로 생성합니다.

시작

  1. 사용할 IAM 자격 증명 및 액세스 정책을 결정하세요.

  2. 클러스터에서 EKS 액세스 항목을 활성화하세요. 지원되는 플랫폼 버전이 있는지 확인하세요.

  3. IAM 자격 증명을 Kubernetes 권한에 연결하는 액세스 항목을 생성하세요.

  4. IAM 자격 증명을 사용하여 클러스터에 대해 인증하세요.