Red Hat Summit9.2. 서비스 계정에서 사용자 정의 프로젝트에서 AWS IAM 역할을 가정하는 방법
AWS STS(보안 토큰 서비스)를 사용하는 AWS 클러스터에 Red Hat OpenShift Service를 설치하면 기본적으로 Pod ID Webhook 리소스가 포함됩니다.
Pod ID Webhook를 사용하여 동일한 프로젝트의 Pod에서 AWS IAM(Identity and Access Management) 역할을 가정하도록 사용자 정의 프로젝트의 서비스 계정을 활성화할 수 있습니다. IAM 역할을 가정하면 Pod의 서비스 계정에서 사용할 임시 STS 인증 정보가 제공됩니다. 추정 역할에 필요한 AWS 권한이 있는 경우 서비스 계정은 Pod에서 AWS SDK 작업을 실행할 수 있습니다.
Pod에 대한 Pod ID 웹 후크를 활성화하려면 프로젝트에서 eks.amazonaws.com/role-arn 주석을 사용하여 서비스 계정을 생성해야 합니다. 주석은 서비스 계정이 가정할 AWS IAM 역할의 ARM(Amazon Resource Name)을 참조해야 합니다. Pod 사양에서 서비스 계정을 참조하고 서비스 계정과 동일한 프로젝트에서 Pod를 배포해야 합니다.
사용자 정의 프로젝트의 Pod ID Webhook 워크플로
다음 다이어그램은 사용자 정의 프로젝트의 Pod ID Webhook 워크플로를 보여줍니다.
그림 9.2. 사용자 정의 프로젝트의 Pod ID Webhook 워크플로
워크플로는 다음 단계가 있습니다.
-
사용자 정의 프로젝트에서 사용자는
eks.amazonaws.com/role-arn주석을 포함하는 서비스 계정을 생성합니다. 주석은 서비스 계정에서 가정할 AWS IAM 역할의 ARN을 가리킵니다. 주석이 있는 서비스 계정을 참조하는 구성을 사용하여 Pod를 동일한 프로젝트에 배포하면 Pod ID Webhook에서 Pod가 변경됩니다. 이 변경으로 인해 Pod 또는
배포리소스 구성에서 해당 구성 요소를 지정하지 않고도 다음 구성 요소를Pod에 삽입합니다.-
AWS SDK 작업을 실행하는 데 필요한 권한이 있는 IAM 역할에 대한 ARN이 포함된
$AWS_ARN_ROLE환경 변수 -
서비스 계정의 OIDC(Open
ID Connect) 토큰에 Pod의 전체 경로가 포함된 $AWS_ please_IDENTITY_TOKEN_FILE환경 변수입니다. 전체 경로는/var/run/secrets/eks.amazonaws.com/serviceaccount/token입니다. -
마운트 지점
/var/run/secrets/eks.amazonaws.com/serviceaccount에 마운트된aws-iam-token볼륨. token이라는 OIDC토큰파일은 볼륨에 포함되어 있습니다.
-
AWS SDK 작업을 실행하는 데 필요한 권한이 있는 IAM 역할에 대한 ARN이 포함된
OIDC 토큰은 Pod에서 OIDC 공급자로 전달됩니다. 다음 요구 사항이 충족되면 공급자는 서비스 계정 ID를 인증합니다.
- ID 서명이 유효하고 개인 키로 서명됩니다.
sts.amazonaws.com대상이 OIDC 토큰에 나열되고 OIDC 공급자에 구성된 대상과 일치합니다.참고Pod ID 웹 후크는
sts.amazonaws.com대상을 기본적으로 OIDC 토큰에 적용합니다.STS 클러스터를 사용하는 AWS의 Red Hat OpenShift Service에서 OIDC 공급자는 설치 중에 생성되며 기본적으로 서비스 계정 발행자로 설정됩니다.
sts.amazonaws.com대상은 기본적으로 OIDC 공급자에 설정됩니다.- OIDC 토큰이 만료되지 않았습니다.
- 토큰의 발행자 값에는 OIDC 공급자의 URL이 포함되어 있습니다.
- 프로젝트 및 서비스 계정이 가정 중인 IAM 역할에 대한 신뢰 정책 범위에 있는 경우 권한 부여가 성공합니다.
- 인증 및 권한 부여가 성공하면 세션 토큰 형식의 임시 AWS STS 인증 정보가 서비스 계정에서 사용할 수 있도록 Pod로 전달됩니다. 인증 정보를 사용하면 서비스 계정에 IAM 역할에서 활성화된 AWS 권한이 일시적으로 부여됩니다.
- Pod에서 AWS SDK 작업을 실행할 때 서비스 계정은 임시 STS 인증 정보를 AWS API에 제공하여 ID를 확인합니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}