3장. AWS의 IAM 수동 생성
클라우드 ID 및 액세스 관리(IAM) API에 연결할 수 없는 환경에서 또는 관리자가 클러스터 kube-system
네임 스페이스에 관리자 수준의 인증 정보 시크릿을 저장하지 않는 것을 선호하는 경우 클러스터를 설치하기 전에 CCO(Cloud Credential Operator)를 수동 모드로 설정할 수 있습니다.
3.1. kube-system 프로젝트에 관리자 수준 시크릿을 저장하는 대안
CCO(Cloud Credential Operator)는 클라우드 공급자 인증 정보를 Kubernetes CRD(사용자 지정 리소스 정의)로 관리합니다. install-config.yaml
파일에서 credentialsMode
매개변수의 다른 값을 설정하여 조직의 보안 요구 사항에 맞게 CCO를 구성할 수 있습니다.
클러스터 kube-system
프로젝트에 관리자 수준 인증 정보 시크릿을 저장하지 않으려면 OpenShift Container Platform을 설치할 때 다음 옵션 중 하나를 선택할 수 있습니다.
Amazon Web Services 보안 토큰 서비스 사용:
CCO 유틸리티 (
ccoctl
)를 사용하여 Amazon Web Services Security Token Service (AWS STS)를 사용하도록 클러스터를 구성할 수 있습니다. CCO 유틸리티를 사용하여 STS의 클러스터를 구성할 때 단기적이고 제한된 권한 보안 인증 정보를 제공하는 IAM 역할을 구성 요소에 할당합니다.참고이 인증 정보 전략은 새로운 OpenShift Container Platform 클러스터에 대해서만 지원되며 설치 중에 구성해야 합니다. 이 기능을 사용하도록 다른 인증 정보 전략을 사용하는 기존 클러스터를 재구성할 수 없습니다.
클라우드 인증 정보를 수동으로 관리:
CCO의
credentialsMode
매개변수를 수동으로 클라우드 인증 정보를 관리하도록Manual
로 설정할 수 있습니다. 수동 모드를 사용하면 각 클러스터 구성 요소에는 클러스터에 관리자 수준 인증 정보를 저장하지 않고 필요한 권한만 보유할 수 있습니다. 환경이 클라우드 공급자 공용 IAM 끝점에 연결되지 않은 경우 이 모드를 사용할 수도 있습니다. 그러나 업그레이드할 때마다 새 릴리스 이미지로 권한을 수동으로 조정해야 합니다. 또한 요청하는 모든 구성 요소에 대한 인증 정보를 수동으로 제공해야 합니다.mint 모드를 사용하여 OpenShift Container Platform을 설치한 후 관리자 수준 인증 정보 시크릿 제거:
credentialsMode
매개변수가Mint
로 설정된 CCO를 사용하는 경우 OpenShift Container Platform을 설치한 후 관리자 수준 인증 정보를 제거하거나 순환할 수 있습니다. Mint 모드는 CCO의 기본 구성입니다. 이 옵션을 사용하려면 설치 중에 관리자 수준 인증 정보가 있어야 합니다. 관리자 수준 인증 정보는 설치 중에 일부 권한이 부여된 다른 인증 정보를 Mint하는 데 사용됩니다. 원래 인증 정보 시크릿은 클러스터에 영구적으로 저장되지 않습니다.
z-stream 외 업그레이드 이전에는 관리자 수준 인증 정보를 사용하여 인증 정보 시크릿을 복원해야 합니다. 인증 정보가 없으면 업그레이드가 차단될 수 있습니다.
추가 리소스
-
CCO 유틸리티(
ccoctl
)를 사용하여 AWS STS를 사용하도록 CCO를 구성하는 방법을 알아보려면 STS 를 사용하여 수동 모드 사용을 참조하십시오.
- OpenShift Container Platform을 설치한 후 관리자 수준 인증 정보 시크릿을 교체하거나 제거하는 방법을 알아보려면 클라우드 공급자 인증 정보 교체 또는 제거를 참조하십시오.
- 사용 가능한 모든 CCO 인증 정보 모드 및 지원되는 플랫폼에 대한 자세한 설명은 Cloud Credential Operator 정보를 참조하십시오.