9.2. 서비스 계정에서 사용자 정의 프로젝트에서 AWS IAM 역할을 가정하는 방법

AWS 클러스터에 Red Hat OpenShift Service를 설치하면 기본적으로 Pod ID 웹 후크 리소스가 포함됩니다.

Pod ID Webhook를 사용하여 사용자 정의 프로젝트의 서비스 계정을 활성화하여 동일한 프로젝트의 Pod에서 AWS Identity and Access Management(IAM) 역할을 가정할 수 있습니다. IAM 역할을 가정하면 Pod의 서비스 계정에서 사용할 임시 STS 인증 정보가 제공됩니다. assumed 역할에 필요한 AWS 권한이 있는 경우 서비스 계정에서 Pod에서 AWS SDK 작업을 실행할 수 있습니다.

Pod에 대한 Pod ID Webhook를 활성화하려면 프로젝트의 eks.amazonaws.com/role-arn 주석을 사용하여 서비스 계정을 생성해야 합니다. 주석은 서비스 계정에서 가정할 AWS IAM 역할의 Amazon Resource Name(ARN)을 참조해야 합니다. Pod 사양에서 서비스 계정을 참조하고 서비스 계정과 동일한 프로젝트에 Pod를 배포해야 합니다.

9.2.1. 사용자 정의 프로젝트의 Pod ID Webhook 워크플로

링크 복사

다음 다이어그램은 사용자 정의 프로젝트의 Pod ID Webhook 워크플로를 보여줍니다.

그림 9.2. 사용자 정의 프로젝트의 Pod ID Webhook 워크플로

워크플로우에는 다음 단계가 있습니다.

1. 사용자 정의 프로젝트 내에서 사용자는 eks.amazonaws.com/role-arn 주석을 포함하는 서비스 계정을 생성합니다. 이 주석은 서비스 계정에서 가정할 AWS IAM 역할의 ARN을 가리킵니다.

2. 주석이 달린 서비스 계정을 참조하는 구성을 사용하여 Pod를 동일한 프로젝트에 배포하면 Pod ID 웹 후크가 Pod를 변경합니다. 변경 사항은 Pod 또는 Deployment 리소스 구성에 지정할 필요 없이 다음 구성 요소를 Pod 에 삽입합니다.

   • AWS SDK 작업을 실행하는 데 필요한 권한이 있는 IAM 역할의 ARN이 포함된 $AWS_ARN_ROLE 환경 변수.
   • 서비스 계정의 OpenID Connect(OIDC) 토큰으로 Pod의 전체 경로를 포함하는 $AWS_WEB_IDENTITY_TOKEN_FILE 환경 변수. 전체 경로는 /var/run/secrets/eks.amazonaws.com/serviceaccount/token 입니다.
   • 마운트 지점 /var/run/secrets/eks.amazonaws.com/serviceaccount 에 마운트된 aws-iam-token 볼륨. 토큰이라는 OIDC 토큰 파일은 볼륨에 포함되어 있습니다.

3. OIDC 토큰은 Pod에서 OIDC 공급자로 전달됩니다. 다음 요구 사항이 충족되면 공급자는 서비스 계정 ID를 인증합니다.

   • ID 서명은 유효하며 개인 키로 서명됩니다.

   • sts.amazonaws.com 대상은 OIDC 토큰에 나열되며 OIDC 공급자에 구성된 대상과 일치합니다.

     참고

     Pod ID Webhook는 기본적으로 sts.amazonaws.com 대상을 OIDC 토큰에 적용합니다.

   • OIDC 토큰이 만료되지 않았습니다.
   • 토큰의 발행자 값에는 OIDC 공급자의 URL이 포함되어 있습니다.
4. 프로젝트 및 서비스 계정이 가정 중인 IAM 역할에 대한 신뢰 정책 범위에 있는 경우 권한 부여가 성공합니다.
5. 인증 및 권한 부여에 성공하면 세션 토큰 형식의 임시 AWS STS 인증 정보가 서비스 계정에서 사용할 수 있도록 Pod에 전달됩니다. 인증 정보를 사용하면 서비스 계정에 IAM 역할에 활성화된 AWS 권한이 일시적으로 부여됩니다.
6. Pod에서 AWS SDK 작업을 실행하면 서비스 계정에서 임시 STS 인증 정보를 AWS API에 제공하여 ID를 확인합니다.