Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

19장. 수명이 짧은 토큰을 사용하여 RHACS 통합

RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 사용하면 수명이 짧은 토큰을 사용하여 선택한 클라우드 공급자 API에 대해 인증할 수 있습니다. RHACS는 다음과 같은 클라우드 공급자 통합을 지원합니다.

  • STS(Secure Token Service)를 사용하는 AWS(Amazon Web Services)
  • 워크로드 ID 페더레이션을 사용하는 GCP(Google Cloud Platform)
  • 관리 ID가 있는 Microsoft Entra ID를 사용하는 Microsoft Azure

RHACS는 다음 플랫폼에 RHACS를 설치할 때만 수명이 짧은 토큰 통합을 지원합니다.

  • AWS의 EBS(Elastic Kubernetes Service)
  • GCP의 Google Kubernetes Engine(GKE)
  • Microsoft Azure Kubernetes Service(AKS)
  • OpenShift Container Platform

단기 인증을 활성화하려면 Kubernetes 또는 OpenShift Container Platform 클러스터와 클라우드 공급자 간의 신뢰를 구축해야 합니다. EKS, GKE 및 AKS 클러스터의 경우 클라우드 공급자 메타데이터 서비스를 사용합니다. OpenShift Container Platform 클러스터의 경우 OpenShift Container Platform 서비스 계정 서명 키가 포함된 공개적으로 사용 가능한 OpenID Connect(OIDC) 공급자 버킷이 필요합니다.

참고

수명이 짧은 토큰 통합을 사용하는 모든 중앙 클러스터의 클라우드 공급자와의 신뢰를 구축해야 합니다. 그러나 수명이 짧은 토큰 이미지 통합과 함께 위임된 스캔을 사용하는 경우 센서 클러스터에 대한 신뢰도 설정해야 합니다.

19.1. AWS Secure Token Service 구성

RHACS 통합은 보안 토큰 서비스를 사용하여 Amazon Web Services에 대해 인증할 수 있습니다. 통합에서 컨테이너 IAM 역할 사용 옵션을 활성화하기 전에 RHACS를 사용하여 AssumeRole 을 구성해야 합니다.

중요

RHACS Pod와 연결된 AWS 역할에 통합에 필요한 IAM 권한이 있는지 확인합니다. 예를 들어 Elastic Container Registry와 통합하기 위한 컨테이너 역할을 설정하려면 레지스트리에 대한 전체 읽기 액세스를 활성화합니다. AWS IAM 역할에 대한 자세한 내용은 IAM 역할을 참조하십시오.

19.1.1. EBS(Elastic Kubernetes Service) 구성

EKS에서 RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 실행하는 경우 Amazon Secure Token Service를 통해 수명이 짧은 토큰을 구성할 수 있습니다.

프로세스

  1. 다음 명령을 실행하여 EKS 클러스터의 IAM OpenID Connect(OIDC) 공급자를 활성화합니다. 

    $ eksctl utils associate-iam-oidc-provider --cluster <cluster_name> --approve
  2. EKS 클러스터에 대한 IAM 역할을 생성합니다.

  3. 역할의 권한 정책을 편집하고 통합에 필요한 권한을 부여합니다. 예를 들면 다음과 같습니다. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchCheckLayerAvailability",
                "ecr:BatchGetImage",
                "ecr:DescribeImages",
                "ecr:DescribeRepositories",
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:ListImages"
            ],
            "Resource": "arn:aws:iam::<ecr_registry>:role/<role_name>"
        }
    ]
}

  4. 가정할 역할의 신뢰 관계를 업데이트합니다. 

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::<ecr-registry>:role/<role_name>" 1
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
    1
    & lt;role_name >은 이전 단계에서 생성한 새 역할과 일치해야 합니다.

  5. 다음 명령을 입력하여 새로 생성된 역할을 서비스 계정과 연결합니다. 

    $ oc -n stackrox annotate sa central eks.amazonaws.com/role-arn=arn:aws:iam::67890:role/<role_name> 1
    1
    Kubernetes를 사용하는 경우 oc 대신 kubectl 을 입력합니다.

  6. 다음 명령을 입력하여 중앙 pod를 다시 시작하고 변경 사항을 적용합니다. 

    $ oc -n stackrox delete pod -l "app in (central,sensor)" 1
    1
    Kubernetes를 사용하는 경우 oc 대신 kubectl 을 입력합니다.

19.1.2. OpenShift Container Platform 구성

OpenShift Container Platform에서 RHACS(Red Hat Advanced Cluster Security for Kubernetes)를 실행하는 경우 Amazon Secure Token Service를 통해 수명이 짧은 토큰을 구성할 수 있습니다.

사전 요구 사항

  • OpenShift Container Platform 서비스 계정 서명 키가 있는 공개 OpenID Connect(OIDC) 구성 버킷이 있어야 합니다. OpenShift Container Platform 클러스터에 대한 OIDC 구성을 가져오려면 Red Hat은 단기 인증 정보에 대해 수동 모드에서 Cloud Credential Operator 의 지침을 사용하는 것이 좋습니다.
  • AWS IAM 및 역할을 생성하고 변경할 수 있는 권한이 있어야 합니다.

프로세스

  1. OIDC(OpenID Connect) ID 공급자 생성 지침에 따라 OpenShift Container Platform 클러스터의 웹 ID를 생성합니다. Audience 의 값으로 openshift 를 사용합니다.
  2. OpenShift Container Platform 클러스터의 웹 ID에 대한 IAM 역할을 생성합니다.

  3. 역할의 권한 정책을 편집하고 통합에 필요한 권한을 부여합니다. 예를 들면 다음과 같습니다. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ecr:BatchCheckLayerAvailability",
                "ecr:BatchGetImage",
                "ecr:DescribeImages",
                "ecr:DescribeRepositories",
                "ecr:GetAuthorizationToken",
                "ecr:GetDownloadUrlForLayer",
                "ecr:ListImages"
            ],
            "Resource": "arn:aws:iam::<ecr_registry>:role/<role_name>"
        }
    ]
}

  4. 가정할 역할의 신뢰 관계를 업데이트합니다. 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "<oidc_provider_arn>"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "<oidc_provider_name>:aud": "openshift"
                }
            }
        }
    ]
}

  5. 중앙 또는 센서 배포에서 다음 RHACS 환경 변수를 설정합니다. 

    AWS_ROLE_ARN=<role_arn>
AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/openshift/serviceaccount/token
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat, Inc.