릴리스 정보
IAM 역할 및 AWS Secret을 생성합니다
변경 제안
PDF
AWS 자격 증명을 명시적으로 제공하는 대신 AWS IAM 역할로 인증하여 Kubernetes Pod를 구성하여 AWS 리소스에 액세스할 수 있습니다.
|
AWS IAM 역할을 사용하여 인증하려면 EKS를 사용하여 Kubernetes 클러스터를 구축해야 합니다. |
AWS Secret Manager 암호를 생성합니다
이 예에서는 Trident CSI 자격 증명을 저장하기 위한 AWS Secret Manager 암호를 생성합니다.
aws secretsmanager create-secret --name trident-secret --description "Trident CSI credentials"\
--secret-string "{\"username\":\"vsadmin\",\"password\":\"<svmpassword>\"}"
IAM 정책을 생성합니다
다음 예에서는 AWS CLI를 사용하여 IAM 정책을 생성합니다.
aws iam create-policy --policy-name AmazonFSxNCSIDriverPolicy --policy-document file://policy.json --description "This policy grants access to Trident CSI to FSxN and Secret manager"
-
정책 JSON 예 *:
policy.json:
{
"Statement": [
{
"Action": [
"fsx:DescribeFileSystems",
"fsx:DescribeVolumes",
"fsx:CreateVolume",
"fsx:RestoreVolumeFromSnapshot",
"fsx:DescribeStorageVirtualMachines",
"fsx:UntagResource",
"fsx:UpdateVolume",
"fsx:TagResource",
"fsx:DeleteVolume"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": "secretsmanager:GetSecretValue",
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:<aws-region>:<aws-account-id>:secret:<aws-secret-manager-name>*"
}
],
"Version": "2012-10-17"
}
Amazon FSx에 대한 자동 백엔드 구성을 활성화하려면 IAM 정책을 생성하는 동안 파일에 다음 작업을 추가하십시오 policy.json.
-
"fsx:CreateStorageVirtualMachine" -
"fsx:DescribeStorageVirtualMachines" -
"secretsmanager:CreateSecret" -
"secretsmanager:DeleteSecret" -
"secretsmanager:TagResource" -
자동 백엔드 구성에 대한 정책 JSON 파일 예 *:
policy.json:
{
"Statement": [
{
"Action": [
"fsx:CreateStorageVirtualMachine",
"fsx:DescribeFileSystems",
"fsx:DescribeStorageVirtualMachines",
"fsx:DescribeVolumes",
"fsx:CreateVolume",
"fsx:RestoreVolumeFromSnapshot",
"fsx:DescribeStorageVirtualMachines",
"fsx:UntagResource",
"fsx:UpdateVolume",
"fsx:TagResource",
"fsx:DeleteVolume"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:TagResource"
],
"Effect": "Allow",
"Resource": "arn:aws:secretsmanager:<aws-region>:<aws-account-id>:secret:*"
}
],
"Version": "2012-10-17"
}
서비스 계정에 대한 IAM 역할을 생성합니다
aws iam create-role --role-name trident-controller \ --assume-role-policy-document file://trust-relationship.json
-
trust-relationship.json 파일: *
{
"Version": "2012-10-17",
"Statement": [
{ "Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::<account_id>:oidc-provider/<oidc_provider>"
},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {
"StringEquals": {
"<oidc_provider>:aud": "sts.amazonaws.com",
"<oidc_provider>:sub": "system:serviceaccount:trident:trident-controller"
}
}
}
]
}
파일에서 다음 값을 trust-relationship.json 업데이트합니다.
-
* <account_id> * - AWS 계정 ID
-
* <oidc_provider> * - EKS 클러스터의 OIDC. 다음을 실행하여 oidc_provider를 가져올 수 있습니다.
aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer"\ --output text | sed -e "s/^https:\/\///"
-
IAM 정책에 IAM 역할 연결 *:
역할이 생성되면 다음 명령을 사용하여 정책(위 단계에서 만든 정책)을 역할에 연결합니다.
aws iam attach-role-policy --role-name my-role --policy-arn <IAM policy ARN>
-
OICD 공급자가 연결되었는지 확인 *:
OIDC 공급자가 클러스터와 연결되어 있는지 확인합니다. 다음 명령을 사용하여 확인할 수 있습니다.
aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4
다음 명령을 사용하여 IAM OIDC를 클러스터에 연결하십시오.
eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
