IAM 역할 생성 및 지정

1. service account에 대한 IAM 역할 생성하기

파드의 컨테이너에 부여 할 권한을 지정하는 IAM 정책을 생성 합니다.

이 실습에서는 모든 S3 버킷에 대해 get 및 list를 허용하는 “AmazonS3ReadOnlyAccess“라는 AWS 관리형 정책을 사용 합니다.

“AmazonS3ReadOnlyAccess” 정책에 대한 ARN을 찾는 것부터 시작하겠습니다.

aws iam list-policies --query 'Policies[?PolicyName==`AmazonS3ReadOnlyAccess`].Arn'

이제 S3에 대한 읽기 전용 액세스가 있는 service account에 IAM 역할을 생성 합니다.

eksctl create iamserviceaccount \
    --name iam-test \
    --namespace default \
    --cluster eksworkshop-eksctl \
    --attach-policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess \
    --approve \
    --override-existing-serviceaccounts
    

CloudFormation IAM 콘솔에서 서비스 계정에 대한 역할을 생성하는 “eksctl-eksworkshop-eksctl-addon-iamserviceaccount-default-iam-test” 스택을 찾을 수 있습니다.

4. service account에 대한 IAM 역할 지정

이전 단계에서 클러스터에 iam-test라는 service account과 연결된 IAM 역할(S3 버킷에 대한 get, list 권한)을 만들었습니다.

먼저 서비스 계정 iam-test가 있는지 확인 하겠습니다.

kubectl get sa iam-test

IAM 역할의 ARN과 함께 서비스 계정에 주석(Annotations)이 달려 있는지 확인 하십시오.

kubectl describe sa iam-test