클러스터에 대한 IAM OIDC 공급자 생성 - Amazon EKS

클러스터에 대한 IAM OIDC 공급자 생성

클러스터에는 OpenID Connect 발급자 URL이 연결되어 있습니다. 서비스 계정에 IAM 역할을 사용하려면 클러스터에 IAM OIDC 공급자가 있어야 합니다.

사전 조건

기존 클러스터가 있어야 합니다. 아직 없는 경우 Amazon EKS 시작하기 가이드 중 하나를 사용하여 생성할 수 있습니다.

eksctl 또는 AWS Management Console을 사용하여 클러스터에 대한 OIDC 공급자를 생성할 수 있습니다.

eksctl

eksctl로 클러스터의 IAM OIDC 자격 증명 공급자를 생성하려면

  1. 클러스터에 기존 IAM OIDC 공급자가 있는지 확인합니다.

    클러스터의 OIDC 공급자 URL을 확인합니다.

    aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

    출력 예는 다음과 같습니다.

    https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

    계정의 IAM OIDC 공급자를 나열합니다. EXAMPLED539D4633E53DE1B71EXAMPLE를 이전 명령에서 반환된 값으로 바꿉니다.

    aws iam list-open-id-connect-providers | grep EXAMPLED539D4633E53DE1B71EXAMPLE

    출력 예는 다음과 같습니다.

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"

    이전 명령에서 출력이 반환된 경우 클러스터에 대한 공급자가 이미 있는 것입니다. 출력이 반환되지 않은 경우 IAM OIDC 공급자를 생성해야 합니다.

  2. 다음 명령을 사용하여 클러스터의 IAM OIDC 자격 증명 공급자를 생성합니다. my-cluster을 사용자의 고유한 값으로 교체합니다.

    eksctl utils associate-iam-oidc-provider --cluster my-cluster --approve
AWS Management Console

AWS Management Console에서 클러스터의 IAM OIDC 자격 증명 공급자를 생성하려면

  1. https://console.aws.amazon.com/eks/home#/clusters에서 Amazon EKS 콘솔을 엽니다.

  2. 클러스터의 이름을 선택합니다.

  3. 개요(Overview) 탭의 세부 정보(Details) 섹션에서 OpenID Connect 공급자 URL(OpenID Connect provider URL)의 값을 적어 둡니다.

  4. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  5. 왼쪽 탐색 창의 액세스 관리(Access management)에서 자격 증명 공급자(Identity Providers)를 선택합니다. 클러스터의 URL과 일치하는 공급자가 목록에 있으면 클러스터에 대한 공급자가 이미 있는 것입니다. 클러스터의 URL과 일치하는 공급자가 나열되지 않는 경우 공급자를 생성해야 합니다.

  6. 공급자를 생성하려면 [공급자 추가(Add Provider)]를 선택합니다.

  7. [공급자 유형(Provider Type)]에서 [OpenID 연결(OpenID Connect)]을 선택합니다.

  8. [공급자 URL(Provider URL)]에서 클러스터의 OIDC 발행자 URL을 붙여넣고 [지문 가져오기(Get thumbprint)]를 선택합니다.

  9. [대상(Audience)에서 sts.amazonaws.com을 입력하고 [공급자 추가(Add provider)]를 선택합니다.