반응형
OS 계정별 Role 분리
역할(Role) 구성
- Bastion Role
- 기본 EC2 Role.
- Assume Role 정책 추가:
- k8sread-role
- wasadm-role
- Admin Role
- EKS 전체 권한.
- Assume Role 설정:
- Bastion Role로부터 신뢰 관계 구성.
- Read Only Role
- EKS 조회 전용 권한.
- Bastion Role로부터 신뢰 관계 구성.
정책 및 역할 세부 설정
- IAM Role 정책
- Admin Role 정책:
- eks:*, ecr:*, sts:* 등 전체 관리 권한 포함.
- Read Only Role 정책:
- eks:DescribeCluster, eks:ListClusters 등 읽기 전용 권한만 포함.
- Admin Role 정책:
- EKS RBAC 설정
- Admin Role: Kubernetes 내 모든 권한 부여 (system:masters).
- Read Only Role:
- view-only ClusterRole 생성 및 ClusterRoleBinding 추가.
- 읽기 전용 권한만 부여 (get, list, watch).
- aws-auth ConfigMap 수정
- IAM Role과 Kubernetes Group을 매핑:
- Admin Role → system:masters
- Read Only Role → k8sread
- IAM Role과 Kubernetes Group을 매핑:
Bastion 서버 계정별 Role 설정
- OS 계정과 Role 매핑
- wasadm → wasadm-role
- k8sread → k8sread-role
- .bashrc 구성
- Assume Role 명령어를 통해 임시 자격 증명 생성 및 환경 변수 설정.
- 토큰 만료 시간 관리 포함.
테스트 결과
- wasadm 계정
- 모든 Kubernetes 리소스 호출, 수정 가능.
- Ex) kubectl edit cm aws-auth 성공.
- k8sread 계정
- 호출은 가능하지만 수정 권한은 제한됨.
- Ex) kubectl edit cm aws-auth 시 권한 에러 발생.
상세내용: 노션 참고
반응형
'OPS' 카테고리의 다른 글
| Athena 특정 일자 LB 엑세스 로그 조회 (0) | 2025.06.15 |
|---|---|
| kubectl apply 명령어 동작 원리 (0) | 2025.06.15 |
| DevOps 스터디 - 보안을 위한 인증과 인가 - ServiceAccount와 RBAC #3 (0) | 2025.05.11 |
| DevOps 스터디 - 퍼시스턴트 볼륨(PV)과 퍼시스턴트 볼륨 클레임(PVC) #2 (심화) (0) | 2025.05.04 |
| DevOps 스터디 - 퍼시스턴트 볼륨(PV)과 퍼시스턴트 볼륨 클레임(PVC) #2 (0) | 2025.05.04 |