서비스 계정에 대한 IAM 역할 - Amazon EKS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서비스 계정에 대한 IAM 역할

IAM 역할을 Kubernetes 서비스 계정에 연결할 수 있습니다. 이렇게 하면 이 서비스 계정에서는 이 서비스 계정을 사용하는 모든 포드에 있는 컨테이너에 AWS 권한을 제공할 수 있습니다. 이 기능을 사용하면 더 이상 확장된 사용 권한을 제공할 필요가 없습니다.아마존 EKS 노드 IAM 역할를 호출하여 해당 노드의 포드가AWSAPI

애플리케이션은 AWS 자격 증명으로 AWS API 요청에 서명해야 합니다. 이 기능은 Amazon EC2 인스턴스 프로파일이 Amazon EC2 인스턴스에 자격 증명을 제공하는 것과 비슷한 방식으로 애플리케이션에서 자격 증명을 관리할 수 있는 전략을 제공합니다. 생성 및 배포하는 대신AWS자격 증명을 컨테이너에 추가하거나 Amazon EC2 인스턴스의 역할을 사용하는 경우 IAM 역할을 Kubernetes 서비스 계정과 연결할 수 있습니다. 그러면 포드의 컨테이너에 있는 응용 프로그램에서AWSSDK 또는AWS CLI를 사용하여 인증 된 API 요청을하십시오.AWS서비스.

중요

Kubernetes 서비스 계정에 IAM 역할을 할당하더라도 포드에는아마존 EKS 노드 IAM 역할, IMDS에 대한 포드 접근을 차단하지 않는 한 자세한 내용은 IMDS 및 Amazon EC2 인스턴스 프로파일 자격 증명에 대한 액세스를 제한하기 위해 단원을 참조하세요.

서비스 계정용 IAM 역할 기능은 다음과 같은 이점을 제공합니다.

  • 최소 권한 —서비스 계정에 IAM 역할 기능을 사용하면 노드 IAM 역할에 확장된 권한을 제공할 필요가 없으므로 해당 노드의 포드가AWSAPI IAM 권한의 범위를 서비스 계정으로 지정할 수 있으며, 해당 서비스 계정을 사용하는 포드만 이러한 권한에 액세스할 수 있습니다. 또한 이 기능을 사용하면 kiam, kube2iam 같은 타사 솔루션이 필요 없습니다.

  • 자격 증명 격리 —컨테이너는 컨테이너가 속한 서비스 계정과 연결된 IAM 역할에 대한 자격 증명만 검색할 수 있습니다. 컨테이너는 다른 포드에 속한 다른 컨테이너를 위한 자격 증명에는 액세스할 수 없습니다.

  • 감사 가능성 —액세스 및 이벤트 로깅은 CloudTrail 을 통해 사용할 수 있으므로 소급적 감사를 보장할 수 있습니다.

서비스 계정에 액세스할 수 있도록 설정AWS세 단계의 리소스

  1. 클러스터용 IAM OIDC 공급자 생성— 클러스터에 대해 한 번만 이 작업을 수행하면 됩니다.

  2. IAM 역할을 생성하여 서비스 계정에 필요한 권한을 사용하여 IAM 정책을 역할에 연결합니다.- 포드에 필요한 각각의 고유한 권한 컬렉션에 대해 별도의 역할을 만드는 것이 좋습니다.

  3. IAM 역할을 서비스 계정에 연결— 액세스 권한이 필요한 각 Kubernetes 서비스 계정에 대해 이 작업을 완료합니다.AWS있습니다.