

 **이 페이지 개선에 도움 주기** 

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 **GitHub에서 이 페이지 편집** 링크를 선택합니다.

# Amazon EKS에서 액세스 제어가 작동하는 방식 알아보기
<a name="cluster-auth"></a>

Amazon EKS 클러스터에 대한 액세스를 관리하는 방법을 알아봅니다. Amazon EKS를 사용하려면 Kubernetes 및 AWS Identity and Access Management(AWS IAM) 액세스 처리 방법을 모두 알고 있어야 합니다.

 **이 섹션에는 다음 내용이 포함되어 있습니다.**

 ** [IAM 사용자 및 역할에 Kubernetes API에 대한 액세스 권한 부여](grant-k8s-access.md) ** - 애플리케이션 또는 사용자가 Kubernetes API에 인증할 수 있도록 설정하는 방법을 알아봅니다. 액세스 항목, aws-auth ConfigMap 또는 외부 OIDC 공급자를 사용할 수 있습니다.

 ** [AWS Management Console에서 Kubernetes 리소스 보기](view-kubernetes-resources.md) ** - Amazon EKS 클러스터와 통신하도록 AWS Management Console을 구성하는 방법을 알아봅니다. 콘솔을 사용하여 클러스터의 Kubernetes 리소스(예: 네임스페이스, 노드 및 포드)를 확인합니다.

 **[Kubernetes API에 대한 쓰기 액세스 권한을 AWS 서비스에 부여](mutate-kubernetes-resources.md)** - Kubernetes 리소스를 수정하는 데 필요한 권한에 대해 알아봅니다.

 ** [Kubeconfig 파일을 생성하여 kubectl을 EKS 클러스터에 연결](create-kubeconfig.md) ** - Amazon EKS 클러스터와 통신하도록 kubectl을 구성하는 방법을 알아봅니다. AWS CLI를 사용하여 kubeconfig 파일을 생성할 수 있습니다.

 ** [Kubernetes 서비스 계정을 사용하여 Kubernetes 워크로드에 AWS에 대한 액세스 권한 부여](service-accounts.md) **  - Kubernetes 서비스 계정과 AWS IAM 역할을 연결하는 방법을 알아봅니다. Pod Identity 또는 서비스 계정에 대한 IAM 역할(IRSA)을 사용할 수 있습니다.

## 일반적인 작업
<a name="_common_tasks"></a>
+ 개발자에게 Kubernetes API에 대한 액세스 권한을 부여합니다. AWS Management Console에서 Kubernetes 리소스를 봅니다.
  + 해결 방법: [액세스 항목을 사용](access-entries.md)하여 Kubernetes RBAC 권한을 AWS IAM 사용자 또는 역할과 연결합니다.
+ AWS 자격 증명을 사용하여 Amazon EKS 클러스터와 통신하도록 kubectl을 구성합니다.
  + 해결 방법: AWS CLI를 사용하여[ kubeconfig 파일을 생성](create-kubeconfig.md)합니다.
+ Ping Identity와 같은 외부 ID 제공업체를 사용하여 Kubernetes API에 대해 사용자를 인증합니다.
  + 해결 방법: [외부 OIDC 공급자를 연결](authenticate-oidc-identity-provider.md)합니다.
+ Kubernetes 클러스터의 워크로드에 AWS API를 직접적으로 직접 호출하는 기능을 부여합니다.
  + 해결 방법: [Pod Identity를 사용](pod-identities.md)하여 AWS IAM 역할을 Kubernetes 서비스 계정에 연결합니다.

## 배경
<a name="_background"></a>
+  [Kubernetes 서비스 계정의 작동 방식을 알아봅니다.](https://kubernetes.io/docs/concepts/security/service-accounts/)
+  [Kubernetes 역할 기반 액세스 제어(RBAC) 모델 검토](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) 
+ AWS 리소스에 대한 액세스를 관리하는 방법에 자세한 내용은 [AWS IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/intro-structure.html)를 참조하세요. 또는 [AWS IAM 사용에 대한 무료 입문 교육](https://explore.skillbuilder.aws/learn/course/external/view/elearning/120/introduction-to-aws-identity-and-access-management-iam)을 수강할 수도 있습니다.

## EKS Auto Mode 고려 사항
<a name="_considerations_for_eks_auto_mode"></a>

EKS Auto Mode는 EKS Pod Identity 및 EKS EKS 액세스 항목과 통합됩니다.
+ EKS Auto Mode는 액세스 항목을 사용하여 EKS 컨트롤 플레인 Kubernetes 권한을 부여합니다. 예를 들어 액세스 정책은 EKS Auto Mode가 네트워크 엔드포인트 및 서비스에 대한 정보를 읽을 수 있게 합니다.
  + EKS Auto Mode 클러스터에서는 액세스 항목을 비활성화할 수 없습니다.
  + 선택적으로 `aws-auth` `ConfigMap`을 활성화할 수 있습니다.
  + EKS Auto Mode의 액세스 항목은 자동으로 구성됩니다. 이러한 액세스 항목은 볼 수 있지만 수정할 수는 없습니다.
  + NodeClass를 사용하여 사용자 지정 노드 IAM 역할을 생성하는 경우 AmazonEKSAutoNodePolicy 액세스 정책을 사용하여 역할에 대한 액세스 항목을 생성해야 합니다.
+ AWS 서비스에 대한 워크로드 권한을 부여하려면 EKS Pod Identity를 사용합니다.
  + EKS Auto Mode 클러스터에 Pod Identity 에이전트를 설치할 필요가 없습니다.