클러스터에서 Kubernetes 리소스를 보도록 사용자에게 액세스 권한 부여 - Amazon EKS

클러스터에서 Kubernetes 리소스를 보도록 사용자에게 액세스 권한 부여

추가 IAM 사용자에게 Amazon EKS 콘솔에 대한 액세스 권한을 부여하여 연결된 클러스터에서 실행 중인 Kubernetes 리소스에 대한 정보를 봅니다.

사전 조건

AWS Management Console에 액세스하는 데 사용하는 IAM 사용자 또는 역할이 다음 요구 사항을 충족해야 합니다.

  • eks:AccessKubernetesApi 권한이 있습니다.

  • Amazon EKS Connector 서비스 계정은 클러스터에서 IAM 또는 역할을 가장할 수 있습니다. 이를 통해 eks-커넥터가 IAM 사용자 또는 역할을 Kubernetes 사용자에게 매핑할 수 있습니다.

Amazon EKS Connector 클러스터 역할을 생성하고 적용하려면

  1. eks-connector 클러스터 역할 템플릿을 다운로드합니다.

    curl -o eks-connector-clusterrole.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-clusterrole.yaml
  2. 클러스터 역할 템플릿 YAML 파일을 편집합니다. %IAM_ARN%의 참조를 IAM 사용자 또는 역할의 Amazon 리소스 이름(ARN)으로 바꿉니다.

  3. Amazon EKS Connector 클러스터 역할 YAML을 Kubernetes 클러스터에 적용합니다.

    kubectl apply -f eks-connector-clusterrole.yaml

IAM 사용자 또는 역할이 Amazon EKS 콘솔에서 Kubernetes 리소스를 시각화하려면 사용자 또는 역할이 이러한 리소스를 읽는 데 필요한 권한을 통해 Kubernetes Kubernetes role 또는 clusterrole과 연결되어 있어야 합니다. 자세한 내용은 Kubernetes 설명서의 RBAC 승인 사용을 참조하세요.

연결된 클러스터에 액세스하도록 IAM 사용자를 구성하려면

  1. 예제 매니페스트 파일을 다운로드하여 clusterroleclusterrolebinding 또는 rolerolebinding을 생성할 수 있습니다.

    • 모든 네임스페이스에서 Kubernetes 리소스 보기 - 클러스터 역할 eks-connector-console-dashboard-full-access-clusterrole을 사용하면 콘솔에서 시각화할 수 있는 모든 네임스페이스와 리소스에 액세스할 수 있습니다. 먼저 role, clusterrole 및 해당 바인딩의 이름을 변경해야 이를 클러스터에 적용할 수 있습니다. 다음 명령을 사용하여 샘플 파일을 다운로드합니다.

      curl -o eks-connector-console-dashboard-full-access-group.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-full-access-group.yaml
    • 특정 네임스페이스의 Kubernetes 리소스 보기 - 이 파일의 네임스페이스는 default이므로 다른 네임스페이스를 지정하려면 클러스터에 적용하기 전에 파일을 편집합니다. 다음 명령을 사용하여 샘플 파일을 다운로드합니다.

      curl -o eks-connector-console-dashboard-restricted-access-group.yaml https://s3.us-west-2.amazonaws.com/amazon-eks/eks-connector/manifests/eks-connector-console-roles/eks-connector-console-dashboard-restricted-access-group.yaml
  2. 전체 액세스 또는 제한된 액세스 YAML 파일을 편집하고, %IAM_ARN%의 참조를 IAM 사용자 또는 역할의 Amazon 리소스 이름(ARN)으로 바꿉니다.

  3. Kubernetes 클러스터에 전체 액세스 또는 제한된 액세스 YAML 파일을 적용합니다. YAML 파일 값을 사용자의 고유한 값으로 교체합니다.

    kubectl apply -f eks-connector-console-dashboard-full-access-group.yaml

연결된 클러스터에서 Kubernetes 리소스를 보려면 Kubernetes 리소스 보기 섹션을 참조하세요. 리소스 탭에서 일부 리소스 유형에 대한 데이터는 연결된 클러스터에서 사용할 수 없습니다.