1. 개념
- 쿠버네티스의 계정에는 2종류(유저 어카운트, 서비스 어카운트)가 존재
유저 어카운트: 운영자 또는 개발자 등이 클러스터를 운영하는데 활용서비스 어카운트: 쿠버네티스 서비스 또는 써드파티 서비스(프로메테우스, 젠킨스 등)가 사용하는 계정
- 서비스 어카운트 생성 시 자동으로 secret을 생성하고, JWT 값의 토큰을 생성(예전)
- 서비스 어카운트 생성 후 서비스 어카운트가 사용할 토큰을 생성해야함(현재)
- 모든 네임스페이스에는 default 서비스 어카운트가 존재하며, 서비스 어카운트를 별도로 지정하지 않는 경우 자동으로 default 서비스 어카운트를 사용
- 서비스 어카운트 생성 후 추가적으로 RBAC 또는 클러스터 롤로 권한을 부여해야 함
2. ServiceAccount 핸들링
- 서비스 어카운트 생성 :
kubectl create sa [서비스어카운트_이름]
- 토큰 생성 :
kubectl creat token [서비스어카운트_이름]
- 목록 확인 :
kubectl get sa
- 세부 정보 확인 :
kubectl describe sa [서비스어카운트_이름]
3. 리소스에 마운트된 토큰 확인
- 파드 세부 정보 확인 :
kubectl get po [파드_이름] -o yaml
4. 리소스에 서비스 어카운트 지정
- spec.template.spec에 serviceAccount 명시
참고
Security Compliance Engineer