EKS 액세스 항목을 사용한 IAM 사용자에게 Kubernetes에 대한 액세스 권한 부여

EKS 액세스 항목이란?

EKS 액세스 항목은 사용자에게 Kubernetes API에 대한 액세스 권한을 부여하는 가장 좋은 방법입니다. 예를 들어 액세스 항목을 사용하여 개발자에게 kubectl을 사용할 수 있는 액세스 권한을 부여할 수 있습니다.

기본적으로 EKS 액세스 항목은 Kubernetes 권한 세트를 IAM 역할과 같은 IAM 자격 증명에 연결합니다. 예를 들어 개발자는 IAM 역할을 수임하고 이를 사용하여 EKS 클러스터에 대해 인증할 수 있습니다.

두 가지 방법으로 액세스 항목에 Kubernetes 권한을 연결할 수 있습니다.

액세스 정책을 추가합니다. 액세스 정책은 AWS에서 유지 관리하는 사전 정의된 Kubernetes 권한 템플릿입니다. 자세한 내용은 액세스 정책 권한 검토 단원을 참조하십시오.
Kubernetes 그룹을 참조합니다. IAM 자격 증명을 Kubernetes 그룹에 연결하는 경우 그룹 권한을 부여하는 Kubernetes 리소스를 생성할 수 있습니다. 자세한 내용은 Kubernetes 문서의 Using RBAC Authorization(RBAC 승인 사용)을 참조하십시오.

장점

Amazon EKS 클러스터 액세스 관리를 사용하면 Amazon EKS API를 통해 직접 Kubernetes 클러스터에 대한 인증 및 권한 부여를 제어할 수 있습니다. 이 기능은 사용자 권한을 관리할 때 AWS 및 Kubernetes API 사이를 전환하지 않아도 되므로 액세스 관리를 간소화합니다. 액세스 항목 및 액세스 정책을 사용하여 클러스터 생성자로부터 클러스터 관리자 권한을 수정하거나 취소하는 기능을 비롯해 AWS IAM 위탁자에 대한 세분화된 권한을 정의할 수 있습니다.

이 기능은 AWS CloudFormation, Terraform 및 AWS CDK와 같은 코드형 인프라(IaC) 도구와 통합되어 클러스터 생성 중에 액세스 구성을 정의할 수 있습니다. 잘못 구성된 경우 직접 Kubernetes API에 액세스하지 않고도 Amazon EKS API를 통해 클러스터 액세스를 복원할 수 있습니다. 이러한 중앙 집중식 접근 방식은 CloudTrail 감사 로깅 및 다중 인증과 같은 기존의 AWS IAM 기능을 활용하여 운영 오버헤드를 줄이고 보안을 개선합니다.

시작하기

사용할 IAM 자격 증명 및 액세스 정책을 결정하세요.
- 액세스 정책 권한 검토
클러스터에서 EKS 액세스 항목을 활성화하세요. 지원되는 플랫폼 버전이 있는지 확인하세요.
- 액세스 항목을 사용하도록 인증 모드 변경
IAM 자격 증명을 Kubernetes 권한에 연결하는 액세스 항목을 생성하세요.
- 액세스 항목 생성
IAM 자격 증명을 사용하여 클러스터에 대해 인증하세요.
- AWS CLI 설정
- kubectl 및 eksctl 설정

레거시 클러스터 액세스 구성

이 기능을 도입하기 전에 생성된 클러스터(플랫폼 버전 요구 사항에 지정된 것보다 이전 버전의 초기 플랫폼 버전을 사용하는 클러스터)에서 EKS 액세스 항목을 활성화하는 경우 EKS는 기존 권한을 반영하는 액세스 항목을 자동으로 생성합니다. 이 액세스 항목은 다음을 표시합니다.

원래 클러스터를 생성한 IAM 자격 증명
클러스터 생성 중에 해당 자격 증명에 부여된 관리 권한

참고

이전에는 이 관리 액세스 권한은 자동으로 부여되었으며 수정할 수 없었습니다. 이제 EKS 액세스 항목을 활성화하면 이 레거시 액세스 구성을 보고 삭제할 수 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Kubernetes API 액세스

액세스 정책 연결