Updating 권한설정 - Service account

서비스 계정을 위한 세분화 된 IAM 역할

쿠버네티스 버전 1.12 에서는 새로운 ProjectedServiceAccountToken 기능이 추가 되었으며, 이 기능은 service account ID가 포함 된 OIDC JSON 웹 토큰 입니다.

Amazon EKS는 공용 OIDC discovery 엔드포인트를 호스팅 합니다. 엔드포인트는 ProjectedServiceAccountToken JSON 웹 토큰에 대한 서명 키가 포함되어 있으며 IAM과 같은 외부 시스템이 쿠버네티스가 발행한 OIDC 토큰을 검증하고 승인을 수락 할 수 있습니다.

OIDC 연합 액세스는 보안 토큰 서비스(STS)를 통해 IAM 역할을 맡게 해주며, OIDC 제공자와 인증을 가능하게 하여 JSON 웹 토큰 (JWT)을 받을 수 있게 합니다. 쿠버네티스는 프로젝트 서비스 계정 토큰을 발행 할 수 있으며, 이는 파드에 대한 유효한 OIDC JSON 웹 토큰이 될 수 있습니다. 셋업을 통해 각 파드가 암호화 된 토큰을 장착하고 이것은 파드의 신원을 확립하기 위해 원하는 OIDC 제공 업체에 대해 STS로 확인할 수 있습니다.

새로운 자격 증명 제공자는 “sts:AssumeRoleWithWebIdentity” 입니다.