EKS Pod Identity가 포드에 AWS 서비스에 대한 액세스 권한을 부여하는 방법 알아보기

최소 권한 – IAM 권한의 범위를 서비스 계정으로 지정할 수 있습니다. 그러면 해당 서비스 계정을 사용하는 Pods만 이 권한에 액세스할 수 있습니다. 또한 이 기능을 사용하면 kiam, kube2iam 같은 타사 솔루션이 필요 없습니다.

자격 증명 격리 - Pod's 컨테이너는 컨테이너가 사용하는 서비스 계정과 연결된 IAM 역할에 대한 자격 증명만 검색할 수 있습니다. 컨테이너는 다른 Pods의 다른 컨테이너에서 사용하는 자격 증명에 액세스할 수 없습니다. Pod Identity를 사용할 때 Amazon EC2 인스턴스 메타데이터 서비스(IMDS)에 대한 Pod 액세스를 차단하지 않는 한 Pod's 컨테이너는 Amazon EKS 노드 IAM 역할에 할당된 권한도 갖습니다. 자세한 내용은 작업자 노드에 할당된 인스턴스 프로파일에 대한 액세스 제한 부분을 참조하세요.

감사 - 소급적 감사를 위해 AWS CloudTrail을 통해 액세스 및 이벤트 로깅이 가능합니다.

독립적 운영 - 많은 조직에서 OIDC 자격 증명 공급자를 만드는 것은 Kubernetes 클러스터를 관리하는 팀이 아닌 다른 팀의 책임입니다. EKS Pod Identity는 업무가 분명히 분리되어 있어 EKS Pod Identity 연결의 모든 구성은 Amazon EKS에서, IAM 권한의 모든 구성은 IAM에서 이루어집니다.

재사용 가능성 - EKS Pod Identity는 서비스 계정에 대한 IAM 역할이 사용하는 각 클러스터에 대해 별도의 보안 주체 대신 단일 IAM 보안 주체를 사용합니다. IAM 관리자는 모든 역할의 신뢰 정책에 다음 보안 주체를 추가하여 EKS Pod Identity에서 사용할 수 있도록 합니다.

            "Principal": {
                "Service": "pods.eks.amazonaws.com"
            }

확장성 - 각 임시 보안 인증 정보 세트는 각 포드에서 실행하는 각 AWS SDK 대신 EKS Pod Identity의 EKS Auth 서비스에서 수임합니다. 그러면 각 노드에서 실행되는 Amazon EKS Pod Identity Agent가 SDK에 보안 인증 정보를 발급합니다. 따라서 부하가 각 노드당 한 번으로 줄어들고 각 포드에 중복되지 않습니다. 프로세스의 자세한 내용은 EKS Pod Identity의 작동 방식 이해 섹션을 참조하세요.

각 클러스터의 각 Kubernetes 서비스 계정에 IAM 역할 하나를 연결할 수 있습니다. EKS Pod Identity 연결을 편집하여 서비스 계정에 매핑되는 역할을 변경할 수 있습니다.

클러스터와 동일한 AWS 계정에 있는 역할만 연결할 수 있습니다. EKS Pod Identity가 사용하도록 구성한 이 계정의 역할에 다른 계정의 액세스 권한을 위임할 수 있습니다. 액세스 권한 위임 및 AssumeRole에 대한 자습서는 IAM 사용 설명서의 IAM 역할을 사용한 AWS 계정 간 액세스 권한 위임을 참조하세요.

EKS Pod Identity Agent가 필요합니다. 노드에서 Kubernetes DaemonSet로 실행되고 실행되는 노드의 포드에만 보안 인증 정보를 제공합니다.

EKS Pod Identity Agent는 노드의 hostNetwork를 사용하고 노드의 링크-로컬 주소에 있는 포트 80 및 포트 2703을 사용합니다. 이 주소는 IPv4의 경우 169.254.170.23, IPv6 클러스터의 경우 [fd00:ec2::23]입니다.

IPv6 주소를 비활성화하거나 localhost IPv6 IP 주소를 차단하는 경우 에이전트를 시작할 수 없습니다. IPv6을 사용할 수 없는 노드에서 에이전트를 시작하려면 EKS Pod Identity Agent에서 IPv6 비활성화의 단계에 따라 IPv6 구성을 비활성화합니다.