IAM 인증 사용자 관리(액세스 항목)

Prev Next

VPC 환경에서 이용 가능합니다.

클러스터 생성시 부트스트랩 클러스터 관리자 허용을 선택하거나, 클러스터 상세 화면의 [인증] 탭에서 AccessEntry를 추가하여 접근 가능한 보안 주체를 등록합니다.

  1. 클러스터 생성 화면에서 부트스트랩 클러스터 관리자 액세스 항목에서 클러스터 관리자 액세스 허용을 선택해 주십시오.
  2. 클러스터 생성을 요청한 사용자가 액세스 > AccessEntry에 IAM 액세스 항목 NRN에 등록됩니다.
참고

액세스 항목 방식의 클러스터는 Sub Account로 클러스터를 생성 할 때, 메인 계정이 클러스터 관리자로 자동 추가되지 않습니다.

  1. 클러스터 상세 화면에서 [액세스] 탭 > AccessEntry > [생성하기] 버튼을 클릭해 주십시오.
  2. 추가할 액세스 항목의 정보를 입력해 주십시오.
  • IAM 보안 주체 : 정책을 적용할 액세스 항목의 NRN
  • 그룹(선택사항) : 클러스터에서 인증되는 사용자 그룹(최대 30개)
  • 정책 : 보안주체에 적용될 클러스터 접근 정책의 목록
    • Scope: 정책의 적용 범위 (Cluster / Namespace)
    • Namespaces(선택 사항): Scope이 Namespace인 경우 정책이 적용될 Namespace 목록. '*-ns'로 패턴 지정 가능. (최대 50개)
    • Policy: 적용될 정책
      • NKSClusterAdminPolicy: 클러스터의 모든 권한 보유
      • NKSAdminPolicy : 리소스의 대부분 권한 보유
      • NKSEditPolicy: 쓰기 권한 보유
      • NKSViewPolicy: 읽기 권한 보유
  1. [생성] 버튼을 클릭해 주십시오.
  2. 등록된 보안 주체의 AccessKey로 권한이 부여되었는지 확인해 주십시오.

Ncloud Kubernetes Service 클러스터의 IAM 인증 액세스 항목에 적용 가능한 정책은 NKSClusterAdminPolicy, NKSAdminPolicy, NKSEditPolicy, NKSViewPolicy이 있습니다.

주의
  • Managed NKS의 경우 아래 권한에서 노드, 시스템 Namespace등의 리소스 사용 및 사용자 가장 등이 제한됩니다.
  • 액세스 정책을 통해 적용된 권한은 kubectl auth can-i --list 명령으로 확인이 불가능합니다.
  • 사용자/그룹 가장하여 kubectl 명령을 사용하는 경우 액세스 항목에 적용된 액세스 정책이 적용되지 않습니다.
  • NKSClusterAdminPolicy
    모든 권한

  • NKSAdminPolicy

API 그룹 리소스 동사
apps daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale create, delete, deletecollection, patch, update
apps controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status get, list, watch
authorization.k8s.io localsubjectaccessreviews create
autoscaling horizontalpodautoscalers create, delete, deletecollection, patch, update
autoscaling horizontalpodautoscalers, horizontalpodautoscalers/status get, list, watch
batch cronjobs, jobs create, delete, deletecollection, patch, update
batch cronjobs, cronjobs/status, jobs, jobs/status get, list, watch
discovery.k8s.io endpointslices get, list, watch
extensions daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale create, delete, deletecollection, patch, update
extensions daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale get, list, watch
networking.k8s.io ingresses, ingresses/status, networkpolicies get, list, watch
networking.k8s.io ingresses, networkpolicies create, delete, deletecollection, patch, update
policy poddisruptionbudgets create, delete, deletecollection, patch, update
policy poddisruptionbudgets, poddisruptionbudgets/status get, list, watch
rbac.authorization.k8s.io rolebindings, roles create, delete, deletecollection, get, list, patch, update, watch
configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status get,list, watch
pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy get, list, watch
configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy create, delete, deletecollection, patch, update
pods, pods/attach, pods/exec, pods/portforward, pods/proxy create, delete, deletecollection, patch, update
serviceaccounts impersonate
bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status get, list, watch
namespaces get,list, watch
  • NKSEditPolicy
API 그룹 리소스 동사
apps daemonsets, deployments, deployments/rollback, deployments/scale, replicasets, replicasets/scale, statefulsets, statefulsets/scale create, delete, deletecollection, patch, update
apps controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status get, list, watch
autoscaling horizontalpodautoscalers, horizontalpodautoscalers/status get, list, watch
autoscaling horizontalpodautoscalers create, delete, deletecollection, patch, update
batch cronjobs, jobs create, delete, deletecollection, patch, update
batch cronjobs, cronjobs/status, jobs, jobs/status get, list, watch
discovery.k8s.io endpointslices get, list, watch
extensions daemonsets, deployments, deployments/rollback, deployments/scale, ingresses, networkpolicies, replicasets, replicasets/scale, replicationcontrollers/scale create, delete, deletecollection, patch, update
extensions daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale get, list, watch
networking.k8s.io ingresses, networkpolicies create, delete, deletecollection, patch, update
networking.k8s.io ingresses, ingresses/status, networkpolicies get, list, watch
policy poddisruptionbudgets create, delete, deletecollection, patch, update
policy poddisruptionbudgets, poddisruptionbudgets/status get, list, watch
namespaces get, list, watch
pods/attach, pods/exec, pods/portforward, pods/proxy, secrets, services/proxy get, list, watch
serviceaccounts impersonate
pods, pods/attach, pods/exec, pods/portforward, pods/proxy create, delete, deletecollection, patch, update
configmaps, events, persistentvolumeclaims, replicationcontrollers, replicationcontrollers/scale, secrets, serviceaccounts, services, services/proxy create, delete, deletecollection, patch, update
configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status get, list, watch
bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status get, list, watch
  • NKSViewPolicy
API 그룹 리소스 동사
apps controllerrevisions, daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, replicasets, replicasets/scale, replicasets/status, statefulsets, statefulsets/scale, statefulsets/status get, list, watch
autoscaling horizontalpodautoscalers, horizontalpodautoscalers/status get, list, watch
batch cronjobs, cronjobs/status, jobs, jobs/status get, list, watch
discovery.k8s.io endpointslices get, list, watch
extensions daemonsets, daemonsets/status, deployments, deployments/scale, deployments/status, ingresses, ingresses/status, networkpolicies, replicasets, replicasets/scale, replicasets/status, replicationcontrollers/scale get, list, watch
networking.k8s.io ingresses, ingresses/status, networkpolicies get, list, watch
policy poddisruptionbudgets, poddisruptionbudgets/status get, list, watch
configmaps, endpoints, persistentvolumeclaims, persistentvolumeclaims/status, pods, replicationcontrollers, replicationcontrollers/scale, serviceaccounts, services, services/status get, list, watch
bindings, events, limitranges, namespaces/status, pods/log, pods/status, replicationcontrollers/status, resourcequotas, resourcequotas/status get, list, watch
namespaces