클러스터에서 Kubernetes 리소스를 보도록 IAM 보안 주체에게 액세스 권한 부여 - Amazon EKS

클러스터에서 Kubernetes 리소스를 보도록 IAM 보안 주체에게 액세스 권한 부여

IAM 보안 주체에게 Amazon EKS 콘솔에 대한 액세스 권한을 부여하여 연결된 클러스터에서 실행 중인 Kubernetes 리소스에 대한 정보를 봅니다.

사전 조건

AWS Management Console 액세스에 사용하는 IAM 보안 주체에서는 다음과 같은 요구 사항을 충족해야 합니다.

  • eks:AccessKubernetesApi IAM 권한이 있어야 합니다.

  • Amazon EKS Connector 서비스 계정은 클러스터에서 IAM 보안 주체를 가장할 수 있습니다. 그러면 Amazon EKS Connector에서 IAM 보안 주체를 Kubernetes 사용자에게 매핑할 수 있습니다.

Amazon EKS Connector 클러스터 역할을 생성하고 적용하려면
  1. eks-connector 클러스터 역할 템플릿을 다운로드합니다.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. 클러스터 역할 템플릿 YAML 파일을 편집합니다. %IAM_ARN%의 참조를 IAM 보안 주체의 Amazon 리소스 이름(ARN)으로 바꿉니다.

  3. Amazon EKS Connector 클러스터 역할 YAML을 Kubernetes 클러스터에 적용합니다.

    kubectl apply -f eks-connector-clusterrole.yaml

IAM 보안 주체가 Amazon EKS 콘솔에서 Kubernetes 리소스를 시각화하려면 보안 주체가 이러한 리소스를 읽는 데 필요한 권한을 통해 Kubernetes Kubernetes role 또는 clusterrole과 연결되어 있어야 합니다. 자세한 내용은 Kubernetes 설명서의 RBAC 승인 사용을 참조하세요.

연결된 클러스터에 액세스하도록 IAM 보안 주체를 구성하려면
  1. 예제 매니페스트 파일을 다운로드하여 clusterroleclusterrolebinding 또는 rolerolebinding을 각각 생성할 수 있습니다.

    모든 네임스페이스의 Kubernetes 리소스 보기

    eks-connector-console-dashboard-full-access-clusterrole 클러스터 역할을 사용하면 콘솔에서 시각화할 수 있는 모든 네임스페이스와 리소스에 액세스할 수 있습니다. 먼저 role, clusterrole 및 해당 바인딩의 이름을 변경해야 이를 클러스터에 적용할 수 있습니다. 다음 명령을 사용하여 샘플 파일을 다운로드합니다.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    특정 네임스페이스의 Kubernetes 리소스 보기

    이 파일의 네임스페이스는 default이므로 다른 네임스페이스를 지정하려면 클러스터에 적용하기 전에 파일을 편집합니다. 다음 명령을 사용하여 샘플 파일을 다운로드합니다.

    curl -O https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. 전체 액세스 또는 제한된 액세스 YAML 파일을 편집하고, %IAM_ARN%의 참조를 IAM 보안 주체의 Amazon 리소스 이름(ARN)으로 바꿉니다.

  3. Kubernetes 클러스터에 전체 액세스 또는 제한된 액세스 YAML 파일을 적용합니다. YAML 파일 값을 사용자의 고유한 값으로 교체합니다.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

연결된 클러스터에서 Kubernetes 리소스를 보려면 Kubernetes 리소스 보기 섹션을 참조하세요. 리소스 탭에서 일부 리소스 유형에 대한 데이터는 연결된 클러스터에서 사용할 수 없습니다.