사용자에게 클러스터 액세스 허용 - Amazon EKS

사용자에게 클러스터 액세스 허용

Amazon EKS 클러스터에 액세스할 수 있는 두 가지 유형의 자격 증명이 있습니다.

  • AWS Identity and Access Management(IAM) 보안 주체(역할 또는 사용자) - 이 유형에는 IAM에 대한 인증이 필요합니다. 자격 증명 소스를 통해 제공된 보안 인증 정보를 사용하여 IAM 사용자 또는 페더레이션 ID로 AWS에 로그인할 수 있습니다. 관리자가 이전에 IAM 역할을 사용하여 ID 페더레이션을 설정한 경우 페더레이션형 ID로만 로그인할 수 있습니다. 페더레이션을 사용하여 AWS에 액세스하면 간접적으로 역할을 수임합니다. 이 유형의 ID를 사용하는 경우 다음을 수행할 수 있습니다.

    노드는 IAM 역할을 수임하여 클러스터에 조인합니다. IAM 보안 주체를 사용하는 클러스터에 액세스하는 기능은 Kubernetes용 AWS IAM Authenticator에서 제공되며, Amazon EKS 컨트롤 플레인에서 실행됩니다.

  • 자체 OpenID Connect(OIDC) 제공업체의 사용자 - 이 유형을 사용하려면 OIDC 제공업체에 대한 인증이 필요합니다. Amazon EKS 클러스터에서 자체 OIDC 제공업체를 설정하는 방법에 대한 자세한 내용은 OpenID Connect 자격 증명 공급자에서 클러스터에 대해 사용자 인증 섹션을 참조하세요. 이 유형의 ID를 사용하는 경우 다음을 수행할 수 있습니다.

    • 클러스터의 Kubernetes 객체에서 작업할 수 있도록 Kubernetes 권한을 할당할 수 있습니다.

    • Amazon EKS API, AWS CLI, AWS CloudFormation, AWS Management Console 또는 eksctl을 사용하여 Amazon EKS 클러스터 및 해당 리소스에서 작업할 수 있도록 IAM 권한을 할당할 수 있습니다.

클러스터에서는 두 가지 유형의 ID를 모두 사용할 수 있습니다. 사용자는 클러스터의 Kubernetes 객체에 액세스하도록 kubectl config 파일을 구성해야 합니다. IAM ID에 대한 kube config 파일을 구성하려면 Amazon EKS 클러스터용 kubeconfig 파일 생성 또는 업데이트 섹션을 참조하세요. OIDC 제공업체에서 ID와 함께 사용할 kube config 파일을 구성하려면 Kubernetes 설명서에서 Using kubectl을 참조하세요.