AWS CLI에서 Kubernetes 그룹을 사용하여 액세스 항목 생성

권한 부여에 Kubernetes 그룹을 사용하고 수동 RBAC 구성을 필요로 하는 Amazon EKS 액세스 항목을 생성합니다.

참고

대부분의 사용 사례에서는 이 페이지에서 설명하는 Kubernetes 그룹 접근 방식 대신 EKS 액세스 정책을 사용하는 것이 좋습니다. EKS 액세스 정책은 수동 RBAC 구성 없이 액세스를 관리하는 더욱 간단한 AWS 통합 방식을 제공합니다. EKS 액세스 정책이 제공하는 것보다 더 세분화된 제어가 필요한 경우에만 Kubernetes 그룹 접근 방식을 사용합니다.

개요

액세스 항목은 IAM 자격 증명(사용자 및 역할)이 Kubernetes 클러스터에 액세스합니다. Kubernetes 그룹 접근 방식은 IAM 사용자 또는 역할에 표준 Kubernetes RBAC 그룹을 통해 EKS 클러스터에 액세스할 수 있는 권한을 부여합니다. 이 방법을 사용하려면 Kubernetes RBAC 리소스(Roles, RoleBindings, ClusterRoles, and ClusterRoleBindings)를 생성 및 관리해야 하고, 고도로 사용자 지정된 권한 세트, 복잡한 권한 부여 요구 사항이 필요하거나 하이브리드 Kubernetes 환경 전반에서 일관된 액세스 제어 패턴을 유지하려는 경우에 권장됩니다.

이 주제에서는 Amazon EC2 인스턴스가 EKS 클러스터에 조인하는 데 사용되는 IAM 자격 증명에 대한 액세스 항목 생성을 다루지 않습니다.

사전 조건

• 액세스 항목을 활성화하도록 클러스터의 인증 모드를 구성해야 합니다. 자세한 내용은 액세스 항목을 사용하도록 인증 모드 변경 섹션을 참조하세요.

• AWS 명령줄 인터페이스 사용 설명서의 설치에 설명된 대로 AWS CLI를 설치 및 구성합니다.

• Kubernetes RBAC에 익숙해지는 것이 좋습니다. 자세한 내용은 Kubernetes 문서의 Using RBAC Authorization(RBAC 승인 사용)을 참조하세요.

1단계: 액세스 항목 정의

1. 권한을 부여하려는 사용자 또는 역할과 같은 IAM 자격 증명의 ARN을 찾습니다.

   • 각 IAM 자격 증명에는 하나의 EKS 액세스 항목만 있을 수 있습니다.

2. 이 IAM 자격 증명과 연결할 Kubernetes 그룹을 결정합니다.

   • 이러한 그룹을 참조하는 기존 Kubernetes Role/ClusterRole 및 RoleBinding/ClusterRoleBinding 리소스를 생성 또는 사용해야 합니다.

3. 자동 생성된 사용자 이름이 액세스 항목에 적합한지 또는 사용자 이름을 수동으로 지정해야 하는지 결정합니다.

   • AWS는 IAM 자격 증명을 기반으로 이 값을 자동 생성합니다. 사용자 지정 사용자 이름을 설정할 수 있습니다. 이는 Kubernetes 로그에 표시됩니다.

   • 자세한 내용은 EKS 액세스 항목에 대한 사용자 지정 사용자 이름 설정 섹션을 참조하세요.

2단계: Kubernetes 그룹에 대한 액세스 항목 생성

액세스 항목을 계획한 후에는 AWS CLI를 사용하여 적절한 Kubernetes 그룹으로 생성합니다.

aws eks create-access-entry --cluster-name <cluster-name> --principal-arn <iam-identity-arn> --type STANDARD --kubernetes-groups <groups>

다음과 같이 바꿉니다.

• <cluster-name>을 EKS 클러스터 이름으로

• <iam-identity-arn>을 IAM 사용자 또는 역할의 ARN으로

• <groups>를 쉼표로 구분된 Kubernetes 그룹 목록으로(예: “system:developers,system:readers”)

모든 구성 옵션에 대한 CLI 참조를 확인합니다.

3단계: Kubernetes RBAC 구성

IAM 위탁자가 클러스터의 Kubernetes 객체에 액세스할 수 있으려면 Kubernetes 역할 기반 액세스 제어(RBAC) 객체를 생성하고 관리해야 합니다.

1. 권한을 정의하는 Kubernetes Role 또는 ClusterRole 객체를 생성합니다.

2. 클러스터에서 그룹 이름을 kind: Group의 subject로 지정하는 Kubernetes RoleBinding 또는 ClusterRoleBinding 객체를 생성합니다.

Kubernetes에서 그룹 및 권한을 구성하는 방법에 대한 자세한 내용은 Kubernetes 문서의 Using RBAC Authorization을 참조하세요.

다음 단계

• IAM 자격 증명에서 kubectl을 사용할 수 있도록 kubeconfig 생성