홈
제품
OpenShift Container Platform
4.19
인증 및 권한 부여
20.5. 구성 요소에 대한 단기 자격 증명을 사용하는 수동 모드

20.5. 구성 요소에 대한 단기 자격 증명을 사용하는 수동 모드

설치하는 동안 CCO(Cloud Credential Operator)를 수동 모드로 작동하도록 구성하고 CCO 유틸리티( ccoctl )를 사용하여 OpenShift Container Platform 클러스터 외부에서 생성 및 관리되는 개별 구성 요소에 대한 단기 보안 자격 증명을 구현할 수 있습니다.

참고

이 자격 증명 전략은 Amazon Web Services(AWS), Google Cloud 및 글로벌 Microsoft Azure에서만 지원됩니다.

AWS 및 Google Cloud 클러스터의 경우 새로운 OpenShift Container Platform 클러스터를 설치하는 동안 이 전략을 사용하도록 클러스터를 구성해야 합니다. 다른 자격 증명 전략을 사용하는 기존 AWS 또는 Google Cloud 클러스터에서는 이 기능을 사용하도록 구성할 수 없습니다.

설치 중에 Microsoft Entra Workload ID를 사용하도록 Azure 클러스터를 구성하지 않은 경우 기존 클러스터에서 이 인증 방법을 활성화 할 수 있습니다.

클라우드 제공자는 이 인증 방법을 구현하기 위해 서로 다른 용어를 사용합니다.

Expand

표 20.3. 단기 자격증 제공자 용어
클라우드 공급자	공급자 명명법
AWS(Amazon Web Services)	AWS STS(보안 토큰 서비스)
Google Cloud	GCP 워크로드 ID
Global Microsoft Azure	Microsoft Entra Workload ID

20.5.1. AWS 보안 토큰 서비스
링크 복사

STS를 사용하는 수동 모드에서 개별 OpenShift Container Platform 클러스터 구성 요소는 AWS STS(Security Token Service)를 사용하여 단기적이고 제한된 권한 보안 인증 정보를 제공하는 구성 요소 IAM 역할을 할당합니다. 이러한 인증 정보는 AWS API 호출을 수행하는 각 구성 요소에 특정적인 IAM 역할과 연결됩니다.

20.5.1.1. AWS 보안 토큰 서비스 인증 프로세스
링크 복사

AWS STS(Security Token Service) 및 AssumeRole API 작업을 사용하면 Pod에서 IAM 역할 정책에서 정의한 액세스 키를 검색할 수 있습니다.

OpenShift Container Platform 클러스터에는 Kubernetes 서비스 계정 서명 서비스가 포함되어 있습니다. 이 서비스는 개인 키를 사용하여 서비스 계정 JSON 웹 토큰(JWT)에 서명합니다. 서비스 계정 토큰이 필요한 Pod는 Pod 사양을 통해 하나씩 요청합니다. Pod가 생성되어 노드에 할당되면 노드는 서비스 계정 서명 서비스에서 서명된 서비스 계정을 검색하여 Pod에 마운트합니다.

STS를 사용하는 클러스터에는 Kubernetes 구성 시크릿에 IAM 역할 ID가 포함됩니다. 워크로드에서는 이 IAM 역할 ID의 ID를 가정합니다. 워크로드에 발행된 서명된 서비스 계정 토큰은 AWS의 구성과 일치하여 AWS STS가 지정된 IAM 역할의 액세스 키를 워크로드에 부여할 수 있습니다.

AWS STS는 다음 조건을 충족하는 서비스 계정 토큰이 포함된 요청에만 액세스 키를 부여합니다.

토큰 이름 및 네임스페이스는 서비스 계정 이름 및 네임스페이스와 일치합니다.
토큰은 공개 키와 일치하는 키로 서명됩니다.

클러스터에서 사용하는 서비스 계정 서명 키의 공개 키 쌍은 AWS S3 버킷에 저장됩니다. AWS STS 페더레이션은 서비스 계정 토큰 서명이 S3 버킷에 저장된 공개 키와 일치하는지 확인합니다.

20.5.1.1.1. AWS STS의 인증 흐름
링크 복사

다음 다이어그램은 AWS STS를 사용할 때 AWS와 OpenShift Container Platform 클러스터 간의 인증 흐름을 보여줍니다.

토큰 서명 은 OpenShift Container Platform 클러스터의 Kubernetes 서비스 계정 서명 서비스입니다.
Pod의 Kubernetes 서비스 계정 은 서명된 서비스 계정 토큰입니다.

그림 20.2. AWS 보안 토큰 서비스 인증 흐름

새로운 인증 정보 및 새로 고침 인증 정보에 대한 요청은 AWS IAM 역할과 결합된 적절하게 구성된 AWS IAM OIDC(OpenID Connect) ID 공급자를 사용하여 자동화됩니다. AWS IAM에서 신뢰하는 서비스 계정 토큰은 OpenShift Container Platform에서 서명하고 Pod에 프로젝션하고 인증에 사용할 수 있습니다.

20.5.1.1.2. AWS STS의 토큰 새로 고침
링크 복사

Pod에서 사용하는 서명된 서비스 계정 토큰이 일정 기간 후에 만료됩니다. AWS STS를 사용하는 클러스터의 경우 이 기간은 3600초 또는 1시간입니다.

토큰이 새로 고쳐지도록 Pod가 할당된 노드의 kubelet입니다. kubelet은 토큰이 수명의 80%보다 오래되면 토큰을 교체하려고 시도합니다.

20.5.1.1.3. AWS STS의 OpenID Connect 요구 사항
링크 복사

OIDC 구성에 대한 암호화 키의 공개 부분을 공개 또는 개인 S3 버킷에 저장할 수 있습니다.

OIDC 사양은 HTTPS를 사용해야 합니다. AWS 서비스에는 JWKS(JSON 웹 키 세트) 공개 키 형식의 OIDC 문서를 노출하려면 공개 끝점이 필요합니다. 이를 통해 AWS 서비스는 Kubernetes에서 서명한 바인딩된 토큰의 유효성을 검사하고 인증서를 신뢰할지 여부를 확인할 수 있습니다. 결과적으로 S3 버킷 옵션에는 공용 HTTPS 끝점과 프라이빗 끝점이 모두 지원되지 않습니다.

AWS STS를 사용하려면 AWS STS 서비스의 공용 AWS 백본이 공용 S3 버킷 또는 공용 CloudFront 엔드포인트가 있는 프라이빗 S3 버킷과 통신할 수 있어야 합니다. 설치 중에 CredentialsRequest 오브젝트를 처리할 때 사용할 버킷 유형을 선택할 수 있습니다.

기본적으로 CCO 유틸리티(ccoctl)는 OIDC 구성 파일을 공용 S3 버킷에 저장하고 S3 URL을 공용 OIDC 엔드포인트로 사용합니다.
또는 ccoctl 유틸리티에서 공개 CloudFront 배포 URL을 통해 IAM ID 공급자가 액세스하는 프라이빗 S3 버킷에 OIDC 구성을 저장할 수 있습니다.

20.5.1.2. AWS 구성 요소 비밀 형식
링크 복사

AWS 보안 토큰 서비스(STS)에서 수동 모드를 사용하면 개별 OpenShift Container Platform 구성 요소에 제공되는 AWS 자격 증명의 내용이 변경됩니다. 다음 비밀 형식을 비교해 보세요.

장기 자격 증명을 사용하는 AWS 비밀 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 
  name: <target_secret_name> 
data:
  aws_access_key_id: <base64_encoded_access_key_id>
  aws_secret_access_key: <base64_encoded_secret_access_key>

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace>


  name: <target_secret_name>


data:
  aws_access_key_id: <base64_encoded_access_key_id>
  aws_secret_access_key: <base64_encoded_secret_access_key>

Copy to Clipboard

Toggle word wrap

1: 구성 요소의 네임스페이스입니다.
2: 구성 요소 시크릿의 이름입니다.

AWS STS를 사용한 AWS 비밀 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 
  name: <target_secret_name> 
stringData:
  credentials: |-
    [default]
    sts_regional_endpoints = regional
    role_name: <operator_role_name> 
    web_identity_token_file: <path_to_token>

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace>


  name: <target_secret_name>


stringData:
  credentials: |-
    [default]
    sts_regional_endpoints = regional
    role_name: <operator_role_name>


    web_identity_token_file: <path_to_token>

Copy to Clipboard

Toggle word wrap

1: 구성 요소의 네임스페이스입니다.
2: 구성 요소 시크릿의 이름입니다.
3: 구성 요소의 IAM 역할입니다.
4: Pod 내의 서비스 계정 토큰 경로입니다. 관례상 이는 OpenShift Container Platform 구성 요소의 /var/run/secrets/openshift/serviceaccount/token입니다.

20.5.1.3. AWS 구성 요소 비밀 권한 요구 사항
링크 복사

OpenShift Container Platform 구성 요소에는 다음 권한이 필요합니다. 이러한 값은 각 구성 요소의 CredentialsRequest 사용자 정의 리소스(CR)에 있습니다.

참고

이러한 권한은 모든 리소스에 적용됩니다. 별도로 지정하지 않는 한 이러한 권한에는 요청 조건이 없습니다.

Expand

Component	사용자 정의 리소스	서비스에 필요한 권한
cluster-capi-operator	`openshift-cluster-api-aws`	EC2 `ec2:CreateTags` `ec2:DescribeAvailabilityZones` `ec2:DescribeDhcpOptions` `ec2:DescribeImages` `ec2:DescribeInstances` `ec2:DescribeInternetGateways` `ec2:DescribeSecurityGroups` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:DescribeNetworkInterfaces` `ec2:DescribeNetworkInterfaceAttribute` `ec2:ModifyNetworkInterfaceAttribute` `ec2:RunInstances` `ec2:TerminateInstances` 탄력적 부하 분산 `elasticloadbalancing:DescribeLoadBalancers` `elasticloadbalancing:DescribeTargetGroups` `elasticloadbalancing:DescribeTargetHealth` `elasticloadbalancing:RegisterInstancesWithLoadBalancer` `elasticloadbalancing:RegisterTargets` `elasticloadbalancing:DeregisterTargets` IAM(ID 및 액세스 관리) API `iam:PassRole` `iam:CreateServiceLinkedRole` 키 관리 서비스(KMS) `kms:Decrypt` `kms:Encrypt` `kms:GenerateDataKey` `kms:GenerateDataKeyWithoutPlainText` `kms:DescribeKey` `kms:RevokeGrant`^[1] `kms:CreateGrant` ^[1] `kms:ListGrants` ^[1]
Machine API Operator	`openshift-machine-api-aws`	EC2 `ec2:CreateTags` `ec2:DescribeAvailabilityZones` `ec2:DescribeDhcpOptions` `ec2:DescribeImages` `ec2:DescribeInstances` `ec2:DescribeInstanceTypes` `ec2:DescribeInternetGateways` `ec2:DescribeSecurityGroups` `ec2:DescribeRegions` `ec2:DescribeSubnets` `ec2:DescribeVpcs` `ec2:RunInstances` `ec2:TerminateInstances` 탄력적 부하 분산 `elasticloadbalancing:DescribeLoadBalancers` `elasticloadbalancing:DescribeTargetGroups` `elasticloadbalancing:DescribeTargetHealth` `elasticloadbalancing:RegisterInstancesWithLoadBalancer` `elasticloadbalancing:RegisterTargets` `elasticloadbalancing:DeregisterTargets` IAM(ID 및 액세스 관리) API `iam:PassRole` `iam:CreateServiceLinkedRole` 키 관리 서비스(KMS) `kms:Decrypt` `kms:Encrypt` `kms:GenerateDataKey` `kms:GenerateDataKeyWithoutPlainText` `kms:DescribeKey` `kms:RevokeGrant`^[1] `kms:CreateGrant` ^[1] `kms:ListGrants` ^[1]
Cloud Credential Operator	`cloud-credential-operator-iam-ro`	IAM(ID 및 액세스 관리) API `iam:GetUser` `iam:GetUserPolicy` `iam:ListAccessKeys`
Cluster Image Registry Operator	`openshift-image-registry`	S3 `s3:CreateBucket` `s3:DeleteBucket` `s3:PutBucketTagging` `s3:GetBucketTagging` `s3:PutBucketPublicAccessBlock` `s3:GetBucketPublicAccessBlock` `s3:PutEncryptionConfiguration` `s3:GetEncryptionConfiguration` `s3:PutLifecycleConfiguration` `s3:GetLifecycleConfiguration` `s3:GetBucketLocation` `s3:ListBucket` `s3:GetObject` `s3:PutObject` `s3:DeleteObject` `s3:ListBucketMultipartUploads` `s3:AbortMultipartUpload` `s3:ListMultipartUploadParts`
Ingress Operator	`openshift-ingress`	탄력적 부하 분산 `elasticloadbalancing:DescribeLoadBalancers` 라우트 `route53:ListHostedZones` `route53:ListTagsForResources` `route53:ChangeResourceRecordSets` Tag `tag:GetResources` AWS STS(보안 토큰 서비스) `sts:AssumeRole`
CNO(Cluster Network Operator)	`openshift-cloud-network-config-controller-aws`	EC2 `ec2:DescribeInstances` `ec2:DescribeInstanceStatus` `ec2:DescribeInstanceTypes` `ec2:UnassignPrivateIpAddresses` `ec2:AssignPrivateIpAddresses` `ec2:UnassignIpv6Addresses` `ec2:AssignIpv6Addresses` `ec2:DescribeSubnets` `ec2:DescribeNetworkInterfaces`
AWS Elastic Block Store CSI Driver Operator	`aws-ebs-csi-driver-operator`	EC2 `ec2:AttachVolume` `ec2:CreateSnapshot` `ec2:CreateTags` `ec2:CreateVolume` `ec2:DeleteSnapshot` `ec2:DeleteTags` `ec2:DeleteVolume` `ec2:DescribeInstances` `ec2:DescribeSnapshots` `ec2:DescribeTags` `ec2:DescribeVolumes` `ec2:DescribeVolumesModifications` `ec2:DetachVolume` `ec2:ModifyVolume` `ec2:DescribeAvailabilityZones` `ec2:EnableFastSnapshotRestores` 키 관리 서비스(KMS) `kms:ReEncrypt*` `kms:Decrypt` `kms:Encrypt` `kms:GenerateDataKey` `kms:GenerateDataKeyWithoutPlainText` `kms:DescribeKey` `kms:RevokeGrant`^[1] `kms:CreateGrant` ^[1] `kms:ListGrants` ^[1]

요청 조건: kms:GrantIsForAWSResource: true

20.5.1.4. AWS STS 인증을 위한 OLM 관리 운영자 지원
링크 복사

AWS 클러스터의 Operator Lifecycle Manager(OLM)가 관리하는 특정 운영자는 STS에서 수동 모드를 사용할 수 있습니다. 이러한 운영자는 클러스터 외부에서 관리되는 제한된 권한의 단기 자격 증명을 사용하여 인증합니다. 운영자가 AWS STS를 통한 인증을 지원하는지 확인하려면 OperatorHub에서 운영자 설명을 참조하세요.

20.5.2. GCP 워크로드 ID
링크 복사

GCP 워크로드 ID를 사용하는 수동 모드에서 개별 OpenShift Container Platform 클러스터 구성 요소는 Google Cloud 워크로드 ID 공급자를 사용하여 구성 요소가 단기적이고 권한이 제한된 자격 증명을 사용하여 Google Cloud 서비스 계정을 가장할 수 있도록 허용합니다.

20.5.2.1. Google Cloud Workload Identity 인증 프로세스
링크 복사

새로운 인증 정보 및 새로 고침 인증 정보에 대한 요청은 IAM 서비스 계정과 결합된 적절하게 구성된 OpenID Connect(OIDC) ID 공급자를 사용하여 자동화됩니다. Google Cloud에서 신뢰하는 서비스 계정 토큰은 OpenShift Container Platform에서 서명되며 Pod에 투영되어 인증에 사용될 수 있습니다. 토큰은 1시간 후에 새로 고쳐집니다.

다음 다이어그램은 Google Cloud Workload Identity를 사용할 때 Google Cloud와 OpenShift Container Platform 클러스터 간의 인증 흐름을 자세히 보여줍니다.

그림 20.3. Google Cloud Workload Identity 인증 흐름

Google Cloud Workload Identity를 사용할 때 Google Cloud와 클러스터 간의 자세한 인증 흐름

20.5.2.2. Google Cloud 구성 요소 비밀 형식
링크 복사

Google Cloud Workload Identity에서 수동 모드를 사용하면 개별 OpenShift Container Platform 구성 요소에 제공되는 Google Cloud 자격 증명의 내용이 변경됩니다. 다음의 비밀 내용을 비교해 보세요.

Google Cloud 비밀 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 
  name: <target_secret_name> 
data:
  service_account.json: <service_account>

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace>


  name: <target_secret_name>


data:
  service_account.json: <service_account>

Copy to Clipboard

Toggle word wrap

1: 구성 요소의 네임스페이스입니다.
2: 구성 요소 시크릿의 이름입니다.
3: Base64로 인코딩된 서비스 계정입니다.

수명이 긴 자격 증명을 사용하는 Base64로 인코딩된 service_account.json 파일의 내용

{
   "type": "service_account", 
   "project_id": "<project_id>",
   "private_key_id": "<private_key_id>",
   "private_key": "<private_key>", 
   "client_email": "<client_email_address>",
   "client_id": "<client_id>",
   "auth_uri": "https://accounts.google.com/o/oauth2/auth",
   "token_uri": "https://oauth2.googleapis.com/token",
   "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
   "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/<client_email_address>"
}

{
   "type": "service_account",


   "project_id": "<project_id>",
   "private_key_id": "<private_key_id>",
   "private_key": "<private_key>",


   "client_email": "<client_email_address>",
   "client_id": "<client_id>",
   "auth_uri": "https://accounts.google.com/o/oauth2/auth",
   "token_uri": "https://oauth2.googleapis.com/token",
   "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
   "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/<client_email_address>"
}

Copy to Clipboard

Toggle word wrap

1: 인증 정보 유형은 service_account 입니다.
2: Google Cloud에 인증하는 데 사용되는 개인 RSA 키입니다. 이 키는 안전하게 유지되어야 하며 순환되지 않습니다.

Google Cloud Workload Identity를 사용하여 Base64로 인코딩된 service_account.json 파일의 내용

{
   "type": "external_account", 
   "audience": "//iam.googleapis.com/projects/123456789/locations/global/workloadIdentityPools/test-pool/providers/test-provider", 
   "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
   "token_url": "https://sts.googleapis.com/v1/token",
   "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/<client_email_address>:generateAccessToken", 
   "credential_source": {
      "file": "<path_to_token>", 
      "format": {
         "type": "text"
      }
   }
}

{
   "type": "external_account",


   "audience": "//iam.googleapis.com/projects/123456789/locations/global/workloadIdentityPools/test-pool/providers/test-provider",


   "subject_token_type": "urn:ietf:params:oauth:token-type:jwt",
   "token_url": "https://sts.googleapis.com/v1/token",
   "service_account_impersonation_url": "https://iamcredentials.googleapis.com/v1/projects/-/serviceAccounts/<client_email_address>:generateAccessToken",


   "credential_source": {
      "file": "<path_to_token>",


      "format": {
         "type": "text"
      }
   }
}

Copy to Clipboard

Toggle word wrap

1: 인증 정보 유형은 external_account 입니다.
2: 대상 고객은 Google Cloud Workload Identity 공급자입니다.
3: 이러한 자격 증명으로 가장할 수 있는 서비스 계정의 리소스 URL입니다.
4: Pod 내의 서비스 계정 토큰 경로입니다. 관례상 이는 OpenShift Container Platform 구성 요소의 /var/run/secrets/openshift/serviceaccount/token입니다.

20.5.2.3. GCP 워크로드 ID 인증을 위한 OLM 관리 운영자 지원
링크 복사

Google Cloud 클러스터의 Operator Lifecycle Manager(OLM)에서 관리하는 특정 운영자는 GCP 워크로드 ID와 함께 수동 모드를 사용할 수 있습니다. 이러한 운영자는 클러스터 외부에서 관리되는 제한된 권한의 단기 자격 증명을 사용하여 인증합니다. 운영자가 GCP 워크로드 ID를 통한 인증을 지원하는지 확인하려면 OperatorHub에서 운영자 설명을 참조하세요.

20.5.2.4. GCP 워크로드 ID 서비스 계정 토큰에 대한 애플리케이션 지원
링크 복사

Google Cloud Platform 워크로드 ID를 사용하는 OpenShift Container Platform 클러스터의 고객 워크로드에 있는 애플리케이션은 GCP 워크로드 ID를 사용하여 인증할 수 있습니다. 애플리케이션에서 이 인증 방법을 사용하려면 클라우드 공급자 콘솔과 OpenShift Container Platform 클러스터에서 구성 단계를 완료해야 합니다.

20.5.3. Microsoft Entra Workload ID
링크 복사

Microsoft Entra Workload ID를 사용하는 수동 모드에서는 개별 OpenShift Container Platform 클러스터 구성 요소가 Workload ID 공급자를 사용하여 구성 요소에 단기 보안 자격 증명을 할당합니다.

20.5.3.1. Microsoft Entra Workload ID 인증 프로세스
링크 복사

다음 다이어그램은 Microsoft Entra Workload ID를 사용할 때 Azure와 OpenShift Container Platform 클러스터 간의 인증 흐름을 자세히 보여줍니다.

그림 20.4. 워크로드 ID 인증 흐름

Workload ID를 사용할 때 Azure와 클러스터 간의 자세한 인증 흐름

20.5.3.2. Azure 구성 요소 시크릿 형식
링크 복사

Microsoft Entra Workload ID를 사용하여 수동 모드를 사용하면 개별 OpenShift Container Platform 구성 요소에 제공되는 Azure 자격 증명의 내용이 변경됩니다. 다음 비밀 형식을 비교해 보세요.

장기 자격 증명을 사용하는 Azure 비밀 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 
  name: <target_secret_name> 
data:
  azure_client_id: <client_id> 
  azure_client_secret: <client_secret> 
  azure_region: <region>
  azure_resource_prefix: <resource_group_prefix> 
  azure_resourcegroup: <resource_group_prefix>-rg 
  azure_subscription_id: <subscription_id>
  azure_tenant_id: <tenant_id>
type: Opaque

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace>


  name: <target_secret_name>


data:
  azure_client_id: <client_id>


  azure_client_secret: <client_secret>


  azure_region: <region>
  azure_resource_prefix: <resource_group_prefix>


  azure_resourcegroup: <resource_group_prefix>-rg


  azure_subscription_id: <subscription_id>
  azure_tenant_id: <tenant_id>
type: Opaque

Copy to Clipboard

Toggle word wrap

1: 구성 요소의 네임스페이스입니다.
2: 구성 요소 시크릿의 이름입니다.
3: 구성 요소가 인증하는 데 사용하는 Microsoft Entra ID ID의 클라이언트 ID입니다.
4: <client_id> ID에 대한 Microsoft Entra ID를 인증하는 데 사용되는 구성 요소 비밀입니다.
5: 리소스 그룹 접두사.
6: 리소스 그룹. 이 값은 <resource_group_prefix> 와 접미사 -rg 로 구성됩니다.

Microsoft Entra Workload ID를 사용한 Azure 비밀 형식

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace> 
  name: <target_secret_name> 
data:
  azure_client_id: <client_id> 
  azure_federated_token_file: <path_to_token_file> 
  azure_region: <region>
  azure_subscription_id: <subscription_id>
  azure_tenant_id: <tenant_id>
type: Opaque

apiVersion: v1
kind: Secret
metadata:
  namespace: <target_namespace>


  name: <target_secret_name>


data:
  azure_client_id: <client_id>


  azure_federated_token_file: <path_to_token_file>


  azure_region: <region>
  azure_subscription_id: <subscription_id>
  azure_tenant_id: <tenant_id>
type: Opaque

Copy to Clipboard

Toggle word wrap

1: 구성 요소의 네임스페이스입니다.
2: 구성 요소 시크릿의 이름입니다.
3: 구성 요소가 인증하는 데 사용하는 사용자가 할당한 관리 ID의 클라이언트 ID입니다.
4: 마운트된 서비스 계정 토큰 파일의 경로입니다.

20.5.3.3. Azure 구성 요소 비밀 권한 요구 사항
링크 복사

OpenShift Container Platform 구성 요소에는 다음 권한이 필요합니다. 이러한 값은 각 구성 요소의 CredentialsRequest 사용자 정의 리소스(CR)에 있습니다.

Expand

Component	사용자 정의 리소스	서비스에 필요한 권한
클라우드 컨트롤러 관리자 운영자	`openshift-azure-cloud-controller-manager`	`Microsoft.Compute/virtualMachines/read` `Microsoft.Network/loadBalancers/read` `Microsoft.Network/loadBalancers/write` `Microsoft.Network/networkInterfaces/read` `Microsoft.Network/networkSecurityGroups/read` `Microsoft.Network/networkSecurityGroups/write` `Microsoft.Network/publicIPAddresses/join/action` `Microsoft.Network/publicIPAddresses/read` `Microsoft.Network/publicIPAddresses/write`
cluster-capi-operator	`openshift-cluster-api-azure`	역할: `Contributor` ^[1]
Machine API Operator	`openshift-machine-api-azure`	`Microsoft.Compute/availabilitySets/delete` `Microsoft.Compute/availabilitySets/read` `Microsoft.Compute/availabilitySets/write` `Microsoft.Compute/diskEncryptionSets/read` `Microsoft.Compute/disks/delete` `Microsoft.Compute/galleries/images/versions/read` `Microsoft.Compute/skus/read` `Microsoft.Compute/virtualMachines/delete` `Microsoft.Compute/virtualMachines/extensions/delete` `Microsoft.Compute/virtualMachines/extensions/read` `Microsoft.Compute/virtualMachines/extensions/write` `Microsoft.Compute/virtualMachines/read` `Microsoft.Compute/virtualMachines/write` `Microsoft.ManagedIdentity/userAssignedIdentities/assign/action` `Microsoft.Network/applicationSecurityGroups/read` `Microsoft.Network/loadBalancers/backendAddressPools/join/action` `Microsoft.Network/loadBalancers/read` `Microsoft.Network/loadBalancers/write` `Microsoft.Network/networkInterfaces/delete` `Microsoft.Network/networkInterfaces/join/action` `Microsoft.Network/networkInterfaces/loadBalancers/read` `Microsoft.Network/networkInterfaces/read` `Microsoft.Network/networkInterfaces/write` `Microsoft.Network/networkSecurityGroups/read` `Microsoft.Network/networkSecurityGroups/write` `Microsoft.Network/publicIPAddresses/delete` `Microsoft.Network/publicIPAddresses/join/action` `Microsoft.Network/publicIPAddresses/read` `Microsoft.Network/publicIPAddresses/write` `Microsoft.Network/routeTables/read` `Microsoft.Network/virtualNetworks/delete` `Microsoft.Network/virtualNetworks/read` `Microsoft.Network/virtualNetworks/subnets/join/action` `Microsoft.Network/virtualNetworks/subnets/read` `Microsoft.Resources/subscriptions/resourceGroups/read`
Cluster Image Registry Operator	`openshift-image-registry-azure`	데이터 권한 `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete` `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write` `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read` `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action` `Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action` 일반 권한 `Microsoft.Storage/storageAccounts/blobServices/read` `Microsoft.Storage/storageAccounts/blobServices/containers/read` `Microsoft.Storage/storageAccounts/blobServices/containers/write` `Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action` `Microsoft.Storage/storageAccounts/read` `Microsoft.Storage/storageAccounts/write` `Microsoft.Storage/storageAccounts/delete` `Microsoft.Storage/storageAccounts/listKeys/action` `Microsoft.Resources/tags/write`
Ingress Operator	`openshift-ingress-azure`	`Microsoft.Network/dnsZones/A/delete` `Microsoft.Network/dnsZones/A/write` `Microsoft.Network/privateDnsZones/A/delete` `Microsoft.Network/privateDnsZones/A/write`
CNO(Cluster Network Operator)	`openshift-cloud-network-config-controller-azure`	`Microsoft.Network/networkInterfaces/read` `Microsoft.Network/networkInterfaces/write` `Microsoft.Compute/virtualMachines/read` `Microsoft.Network/virtualNetworks/read` `Microsoft.Network/virtualNetworks/subnets/join/action` `Microsoft.Network/loadBalancers/backendAddressPools/join/action`
azure-file-csi-driver-operator	`azure-file-csi-driver-operator`	`Microsoft.Network/networkSecurityGroups/join/action` `Microsoft.Network/virtualNetworks/subnets/read` `Microsoft.Network/virtualNetworks/subnets/write` `Microsoft.Storage/storageAccounts/delete` `Microsoft.Storage/storageAccounts/fileServices/read` `Microsoft.Storage/storageAccounts/fileServices/shares/delete` `Microsoft.Storage/storageAccounts/fileServices/shares/read` `Microsoft.Storage/storageAccounts/fileServices/shares/write` `Microsoft.Storage/storageAccounts/listKeys/action` `Microsoft.Storage/storageAccounts/read` `Microsoft.Storage/storageAccounts/write`
Azure Disk CSI Driver Operator	`azure-disk-csi-driver-operator`	`Microsoft.Compute/disks/` `Microsoft.Compute/snapshots/` `Microsoft.Compute/virtualMachineScaleSets//read` `Microsoft.Compute/virtualMachineScaleSets/read` `Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write` `Microsoft.Compute/virtualMachines//read` `Microsoft.Compute/virtualMachines/write` `Microsoft.Resources/subscriptions/resourceGroups/read`

이 구성 요소에는 권한 집합보다는 역할이 필요합니다.

20.5.3.4. Microsoft Entra Workload ID 인증을 위한 OLM 관리 운영자 지원
링크 복사

Azure 클러스터의 OLM(Operator Lifecycle Manager)에서 관리하는 특정 운영자는 Microsoft Entra Workload ID를 사용하여 수동 모드를 사용할 수 있습니다. 이러한 운영자는 클러스터 외부에서 관리되는 단기 자격 증명을 사용하여 인증합니다. 운영자가 워크로드 ID를 통한 인증을 지원하는지 확인하려면 OperatorHub에서 운영자 설명을 참조하세요.

맨 위로 이동

20.5. 구성 요소에 대한 단기 자격 증명을 사용하는 수동 모드

20.5.1. AWS 보안 토큰 서비스
링크 복사

20.5.1.1. AWS 보안 토큰 서비스 인증 프로세스
링크 복사

20.5.1.1.1. AWS STS의 인증 흐름
링크 복사

20.5.1.1.2. AWS STS의 토큰 새로 고침
링크 복사

20.5.1.1.3. AWS STS의 OpenID Connect 요구 사항
링크 복사

20.5.1.2. AWS 구성 요소 비밀 형식
링크 복사

20.5.1.3. AWS 구성 요소 비밀 권한 요구 사항
링크 복사

20.5.1.4. AWS STS 인증을 위한 OLM 관리 운영자 지원
링크 복사

20.5.2. GCP 워크로드 ID
링크 복사

20.5.2.1. Google Cloud Workload Identity 인증 프로세스
링크 복사

20.5.2.2. Google Cloud 구성 요소 비밀 형식
링크 복사

20.5.2.3. GCP 워크로드 ID 인증을 위한 OLM 관리 운영자 지원
링크 복사

20.5.2.4. GCP 워크로드 ID 서비스 계정 토큰에 대한 애플리케이션 지원
링크 복사

20.5.3. Microsoft Entra Workload ID
링크 복사

20.5.3.1. Microsoft Entra Workload ID 인증 프로세스
링크 복사

20.5.3.2. Azure 구성 요소 시크릿 형식
링크 복사

20.5.3.3. Azure 구성 요소 비밀 권한 요구 사항
링크 복사

20.5.3.4. Microsoft Entra Workload ID 인증을 위한 OLM 관리 운영자 지원
링크 복사

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

20.5. 구성 요소에 대한 단기 자격 증명을 사용하는 수동 모드

20.5.1. AWS 보안 토큰 서비스링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.1. AWS 보안 토큰 서비스 인증 프로세스링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.1.1. AWS STS의 인증 흐름링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.1.2. AWS STS의 토큰 새로 고침링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.1.3. AWS STS의 OpenID Connect 요구 사항링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.2. AWS 구성 요소 비밀 형식링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.3. AWS 구성 요소 비밀 권한 요구 사항링크 복사링크가 클립보드에 복사되었습니다!

20.5.1.4. AWS STS 인증을 위한 OLM 관리 운영자 지원링크 복사링크가 클립보드에 복사되었습니다!

20.5.2. GCP 워크로드 ID링크 복사링크가 클립보드에 복사되었습니다!

20.5.2.1. Google Cloud Workload Identity 인증 프로세스링크 복사링크가 클립보드에 복사되었습니다!

20.5.2.2. Google Cloud 구성 요소 비밀 형식링크 복사링크가 클립보드에 복사되었습니다!

20.5.2.3. GCP 워크로드 ID 인증을 위한 OLM 관리 운영자 지원링크 복사링크가 클립보드에 복사되었습니다!

20.5.2.4. GCP 워크로드 ID 서비스 계정 토큰에 대한 애플리케이션 지원링크 복사링크가 클립보드에 복사되었습니다!

20.5.3. Microsoft Entra Workload ID링크 복사링크가 클립보드에 복사되었습니다!

20.5.3.1. Microsoft Entra Workload ID 인증 프로세스링크 복사링크가 클립보드에 복사되었습니다!

20.5.3.2. Azure 구성 요소 시크릿 형식링크 복사링크가 클립보드에 복사되었습니다!

20.5.3.3. Azure 구성 요소 비밀 권한 요구 사항링크 복사링크가 클립보드에 복사되었습니다!

20.5.3.4. Microsoft Entra Workload ID 인증을 위한 OLM 관리 운영자 지원링크 복사링크가 클립보드에 복사되었습니다!

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

20.5.1. AWS 보안 토큰 서비스
링크 복사

20.5.1.1. AWS 보안 토큰 서비스 인증 프로세스
링크 복사

20.5.1.1.1. AWS STS의 인증 흐름
링크 복사

20.5.1.1.2. AWS STS의 토큰 새로 고침
링크 복사

20.5.1.1.3. AWS STS의 OpenID Connect 요구 사항
링크 복사

20.5.1.2. AWS 구성 요소 비밀 형식
링크 복사

20.5.1.3. AWS 구성 요소 비밀 권한 요구 사항
링크 복사

20.5.1.4. AWS STS 인증을 위한 OLM 관리 운영자 지원
링크 복사

20.5.2. GCP 워크로드 ID
링크 복사

20.5.2.1. Google Cloud Workload Identity 인증 프로세스
링크 복사

20.5.2.2. Google Cloud 구성 요소 비밀 형식
링크 복사

20.5.2.3. GCP 워크로드 ID 인증을 위한 OLM 관리 운영자 지원
링크 복사

20.5.2.4. GCP 워크로드 ID 서비스 계정 토큰에 대한 애플리케이션 지원
링크 복사

20.5.3. Microsoft Entra Workload ID
링크 복사

20.5.3.1. Microsoft Entra Workload ID 인증 프로세스
링크 복사

20.5.3.2. Azure 구성 요소 시크릿 형식
링크 복사

20.5.3.3. Azure 구성 요소 비밀 권한 요구 사항
링크 복사

20.5.3.4. Microsoft Entra Workload ID 인증을 위한 OLM 관리 운영자 지원
링크 복사