포드 실행 역할 - Amazon EKS

포드 실행 역할

AWS Fargate 인프라에서 포드를 실행하려면 Amazon EKS 포드 실행 역할이 필요합니다.

클러스터가 AWS Fargate 인프라에 포드를 생성하는 경우 Fargate 인프라에서 실행 중인 구성 요소는 사용자를 대신해 AWS API를 호출하여 Amazon ECR에서 컨테이너 이미지를 가져오거나 로그를 다른 AWS 서비스로 라우팅하는 등의 작업을 수행해야 합니다. Amazon EKS 포드 실행 역할은 이 작업을 수행할 수 있는 IAM 권한을 제공합니다.

Fargate 프로필을 생성할 때 프로필을 사용하여 Fargate 인프라에서 실행되는 Amazon EKS 구성 요소의 포드 실행 역할을 지정해야 합니다. 이 역할은 권한 부여를 위해 클러스터의 Kubernetes 역할 기반 액세스 제어(RBAC)에 추가되므로 Fargate 인프라에서 실행 중인 kubelet가 Amazon EKS 클러스터에 등록될 수 있습니다. 이를 통해 Fargate 인프라가 클러스터에 노드로 표시될 수 있습니다.

Fargate 포드에서 실행 중인 컨테이너는 포드 실행 역할과 연결된 IAM 권한을 수임할 수 없습니다. Fargate 포드의 컨테이너에 다른 AWS 서비스에 대한 액세스 권한을 부여하려면 서비스 계정에 대한 IAM 역할를 사용해야 합니다.

Fargate 프로필을 생성하기 전에 다음 IAM 정책을 사용하여 IAM 역할을 생성해야 합니다.

기존 포드 실행 역할 확인

다음 절차를 사용하여 계정에 이미 Amazon EKS 포드 실행 역할이 있는지 확인할 수 있습니다.

IAM 콘솔에서 AmazonEKSFargatePodExecutionRole을 확인하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 탐색 창에서 [역할(Roles)]을 선택합니다.

  3. 역할 목록에서 AmazonEKSFargatePodExecutionRole을 검색합니다. 역할이 존재하지 않을 경우, Amazon EKS 포드 실행 역할 생성을 참조하여 역할을 생성합니다. 역할이 존재하지 않을 경우, 연결된 정책을 볼 역할을 선택합니다.

  4. Permissions를 선택합니다.

  5. AmazonEKSFargatePodExecutionRolePolicy Amazon 관리형 정책이 역할에 연결되어 있는지 확인합니다. 정책이 연결되어 있는 경우, Amazon EKS 포드 실행 역할이 적절히 구성된 것입니다.

  6. Trust RelationshipsEdit Trust Relationship을 차례로 선택합니다.

  7. 신뢰 관계에 다음 정책이 포함되어 있는지 확인합니다. 신뢰 관계가 아래 정책과 일치하는 경우, Cancel을 선택합니다. 신뢰 관계가 일치하지 않는 경우, 정책을 Policy Document 창에 복사하고 Update Trust Policy를 선택합니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "eks-fargate-pods.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Amazon EKS 포드 실행 역할 생성

계정에 Amazon EKS 포드 실행 역할이 아직 없는 경우 다음 절차를 사용하여 생성할 수 있습니다.

AWS Management Console을 사용하여 AWS Fargate 포드 실행 역할을 생성하려면

  1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

  2. 역할을 선택한 다음 역할 생성을 선택합니다.

  3. 서비스 목록에서 [EKS]를 선택하고 사용 사례에 대한 [EKS - Fargate 포드(EKS - Fargate pod)]를 선택한 후 [다음: 권한(Next: Permissions)]을 선택합니다.

  4. 다음: 태그를 선택합니다.

  5. (선택 사항) 태그를 키-값 페어로 연결하여 메타데이터를 역할에 추가합니다. IAM에서 태그 사용에 대한 자세한 내용은 IAM 사용 설명서IAM 엔터티 태깅을 참조하세요.

  6. 다음: 검토를 선택합니다.

  7. Role name(역할 이름)에서 역할에 대한 고유 이름(예: AmazonEKSFargatePodExecutionRole)을 입력한 다음 Create role(역할 생성)을 선택합니다.