- 신규로 EKS를 배포했다.
- alb controller에 iam 자격 증명 공급자도 oidc로 설정되어있고, 역할권한도 잘있는데... Addtag target group 리소스에서 권한이 없다고 생성이 되지 않는다.
- 기존에 있던 동일한 테라폼으로 만든 EKS, iam인데...
- stage에 신규 application 생성하니 똑같은오류 발생함.
- 확실히 iam에 뭔가 문제가 있어보임
-
iam elasticloadbalance에 모든 권한을 주도록 수정하니 그냥 되더라..
-
그래도 all은 좋은방법이 아닌거같아서 구글 서치도 해보고 조금씩 수정하면서 테스트해봤다.
-
아래 role 부분에서 condition을 제거하고 진행하니 되더라.
-
저부분은 없어도 별 문제 없을거같아서 그냥 지움..(all보단 낫겠지...)
{ "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags", "elasticloadbalancing:RemoveTags" ], "Resource": [ "arn:aws:elasticloadbalancing:*:*:targetgroup/*/*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/net/*/*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/app/*/*" ], > 이부분 "Condition": { "Null": { "aws:RequestTag/elbv2.k8s.aws/cluster": "true", "aws:ResourceTag/elbv2.k8s.aws/cluster": "false" } } }
-
-
이후에 해결책이 있었는지 검색해보니 누군가 나와 동일한걸로 문제와 해결방법으로 최근에 issue 오픈해놨더라.. 내가 먼저 할껄...
https://github.com/kubernetes-sigs/aws-load-balancer-controller/issues/3383
-
해결방법 : 2.4.7버전으로 iam 업데이트
https://github.com/kubernetes-sigs/aws-load-balancer-
controller/blob/main/docs/install/iam_policy.json#L202 -
아래 iam 코드가 추가됨
{ "Effect": "Allow", "Action": [ "elasticloadbalancing:AddTags" ], "Resource": [ "arn:aws:elasticloadbalancing:*:*:targetgroup/*/*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/net/*/*", "arn:aws:elasticloadbalancing:*:*:loadbalancer/app/*/*" ], "Condition": { "StringEquals": { "elasticloadbalancing:CreateAction": [ "CreateTargetGroup", "CreateLoadBalancer" ] }, "Null": { "aws:RequestTag/elbv2.k8s.aws/cluster": "false" } } },
어제보다 나은 엔지니어가 되기 위해서 공부중