IRSA

• kkumtree

2023-06-04T06:56:52+09:00

이번에는 보안을 위한 인증 및 인가, 그리고 IRSA를 중심으로 EKS의 보안에 대해 학습해보았습니다.

kops 스터디 때에는 잘 몰랐는데, RBAC 뿐만 아니라 복기하다보니…

• [4-1] projected Volume
• [4-2] AWS Load Balancer Controller IRSA 및 LB Pod mutating

위의 두 가지가 중요한 파트를 차지하고 있었음을 알 수 있었습니다.
Network(2주차)가 매번 뭔가 일부가 아리송하였다면
Security는 복기하다가 이론적으로는 간단(과연?)해보여도
실제 구동방식 이해 자체가 초반에 안되서, 사흘 남짓 걸린 덕에 더 어려웠던 것 같습니다.

그 외

1. myeks-bastion-2에 접속 시, 함께 진행할 때는 ssh {Public IP}로 잘 접속되는 걸 봤는데 정작 혼자 할 땐 접속이 되지않았습니다.
   • Amazon Linux에서는 ssh ec2-user@{Public IP}로 접속해야함
     (필요한 경우 ssh키도 포함)
   • AWS Public AMI에서 제공되는 Ubuntu AMI의 경우,
     ubuntu@{Public IP}로 접속가능
   • 추정: 공유된 머신에 다른 설정이 이슈가 되는 것으로 추정됩니다.
2. IAM User(testuser)는 웹콘솔에서 삭제하는 것이 편리합니다.
   • 아니면, 아래처럼 detach 한다는 느낌으로 순차적 실행합니다.
     • list-attached-role-policies && detach-role-policy
     • list-access-keys && delete-access-key
     • delete-user
3. CLI로 IAM Trust Relationship 조회
   • 웹 콘솔에 굳이 들어가야하나 하고, 문득 호기심에 시도하다가 시간이 날아갔습니다.
   • 결론: 하드코어한 파싱..
     • jq -r '.[].status.roleARN' | rev | cut -d '/' -f1 | rev
     • chatGPT에게 아래와 같이 교정 받았지만, 탐탁치 않음..
       jq -r '.[].status.roleARN' | grep -oE '[^/]+$'
       

1. 실습 환경 배포

• 모의공격(?) 테스트를 위해 2개의 bastion 서버가 구성된 환경 배포
• p8s 및 grafana의 경우, 선택적으로 배포해도 되서 기술 생략

curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick5.yaml

# 이하 중략

# CERT_ARN(ACM)의 경우에는 /etc/profile에 환경변수 저장을 안해둬서  
# 세션이 만료되면, 다시 재설정 필요

CERT_ARN=`aws acm list-certificates --query 'CertificateSummaryList[].CertificateArn[]' --output text`
echo $CERT_ARN

2. k8s 인증/인가

• .kube/config 파일을 기반
  • cluster: k8s API 서버 접속정보
  • users: API 서버에 접속하기 위한 유저 인증정보 목록
  • contexts: cluster및 user를 매핑(조합)한 정보