EKS IRSA 인증 관련해서 이해하지 못하는 부분들에 대해서 정리한다.
아래 작업을 이해하고 완료하기 위해 정리한 내용이라고 보면 된다.
EKS IRSA 작업
ARN 이란?
- Amazon Resource Name
- 람다, EC2 등을 생성할때 생기는 고유의 일련번호
- arn:aws:lambda:region:account-id:function:function-name
- ARN에 가용영역 정보는 없음 -> 언제든 바뀔 수 있음
- ARN의 장점 -> IAM을 통한 권한 관리가 편함
# IAM Policy의 JSON 문법
# 1. 자격증명 기반 정책 (ID-BASED-POLICY)
# - 해당 정책을 사용하는(연결되는) 주체가 [AWS계정 / IAM 사용자 / 그룹 / 역할]
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::holiday/*"
}
]
}
-> holiday s3 bucket 에 대한 리드 권한을 허용하는 정책
{
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:::table/holiday" // 이런 형식을 ARN이라고 합니다. (ARN 참조)
}
-> dynamodb holiday 테이블에 대한 모든 권한을 부여하는 정책
# 2. 리소스 기반 정책 (RESOURCE-BASED-POLICY)
# - 해당 정책을 사용하는 주체가 리소스임 / 아래 json 에서는 클라우드프론트가 s3 holiday 버킷의 리드 권한을 부여받는다고 보면됨
# 즉, S3 버킷 holiday을 읽을 권한을 CloudFront Origin Access Identity E36E6CTWWW86E5에 부여한다.
{
"Version": "2008-10-17",
"Id": "PolicyForCloudFrontPrivateContent",
"Statement": [
{
"Sid": "1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity E36E6CTWWW86E5"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::holiday/*"
}
]
}
자격 증명 공급자란?
AWS 외부에서 사용자 자격 증명을 이미 관리하고 있다면
"IAM 사용자"를 생성하는 대신 "IAM 자격 증명 공급자"를 사용할 수 있습니다.
EKS 서비스 어카운트에
ref.
ARN
IAM POLICY
cycling developer