[AEWS] #6주차 서비스 어카운트, role 권한 확인 실습 (2)

25년도 AWS EKS Hands-on Study 스터디 정리 내용입니다.

 

K8s 인증/인가 실습

쿠버네티스에서 dev-k8s 및 infra-k8s 서비스 어카운트를 생성하여, dev-team 네임스페이스 내에서 각각 다른 권한을 부여하고 테스트해보도록 한다.

 

SA, 네임스페이스 생성

kubectl create namespace dev-team
namespace/dev-team created

kubectl create ns infra-team
namespace/infra-team created

kubectl get ns
NAME                 STATUS   AGE
default              Active   72m
dev-team             Active   6s
infra-team           Active   5s
kube-node-lease      Active   72m
kube-public          Active   72m
kube-system          Active   72m
local-path-storage   Active   72m

kubectl create sa dev-k8s -n dev-team
serviceaccount/dev-k8s created

kubectl create sa infra-k8s -n infra-team
serviceaccount/infra-k8s created

 

서비스 어카운트와 네임스페이스를 생성한다.

 

테스트 파드 배포

cat <<EOF | kubectl create -f -
apiVersion: v1
kind: Pod
metadata:
  name: dev-kubectl
  namespace: dev-team
spec:
  serviceAccountName: dev-k8s
  containers:
  - name: kubectl-pod
    image: bitnami/kubectl:1.31.4
    command: ["tail"]
    args: ["-f", "/dev/null"]
  terminationGracePeriodSeconds: 0
EOF

cat <<EOF | kubectl create -f -
apiVersion: v1
kind: Pod
metadata:
  name: infra-kubectl
  namespace: infra-team
spec:
  serviceAccountName: infra-k8s
  containers:
  - name: kubectl-pod
    image: bitnami/kubectl:1.31.4
    command: ["tail"]
    args: ["-f", "/dev/null"]
  terminationGracePeriodSeconds: 0
EOF

 

각각의 네임스페이스에 파드를 배포한다.

kubectl get pod -o dev-kubectl -n dev-team -o yaml |
grep service
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
    serviceAccount: dev-k8s
    serviceAccountName: dev-k8s
        - serviceAccountToken:
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount

kubectl get pod -o infra-kubectl -n infra-team -o yaml | grep service
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
    serviceAccount: infra-k8s
    serviceAccountName: infra-k8s
        - serviceAccountToken:
      - mountPath: /var/run/secrets/kubernetes.io/serviceaccount

 

권한 확인

alias k1='kubectl exec -it dev-kubectl -n dev-team -- kubectl'
alias k2='kubectl exec -it infra-kubectl -n infra-team -- kubectl'

k1 get pods
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:dev-team:dev-k8s" cannot list resource "pods" in API group "" in the namespace "dev-team"

k2 get pods
Error from server (Forbidden): pods is forbidden: User "system:serviceaccount:infra-team:infra-k8s" cannot list resource "pods" in API group "" in the namespace "infra-team"

k1 auth can-i get pods
no

 

현재 dev-k8s 및 infra-k8s 서비스 어카운트는 Kubernetes 리소스 조회 권한이 없어서 에러가 발생한다.

 

cat <<EOF | kubectl create -f -
> apiVersion: rbac.authorization.k8s.io/v1
> kind: Role
> metadata:
>   name: role-dev-team
>   namespace: dev-team
> rules:
> - apiGroups: ["*"]
>   resources: ["*"]
>   verbs: ["*"]
> EOF
role.rbac.authorization.k8s.io/role-dev-team created

cat <<EOF | kubectl create -f -
> apiVersion: rbac.authorization.k8s.io/v1
> kind: Role
> metadata:
>   name: role-infra-team
>   namespace: infra-team
> rules:
> - apiGroups: ["*"]
>   resources: ["*"]
>   verbs: ["*"]
> EOF
role.rbac.authorization.k8s.io/role-infra-team created

kubectl get roles -n dev-team
NAME            CREATED AT
role-dev-team   2025-03-15T18:56:26Z

kubectl get roles -n infra-team
NAME              CREATED AT
role-infra-team   2025-03-15T18:56:28Z

 

 

특정 네임스페이스에서만 리소스에 대한 접근 권한을 정의하는 객체인 롤을 생성한다.

롤은 네임스페이스 내에서만 적용되며, 클러스터 전체에 적용하려면 ClusterRole을 사용해야 한다.

apiGroups, resources, verbs 필드를 통해 접근할 수 있는 리소스와 동작을 정의한다.

 

cat <<EOF | kubectl create -f -
> apiVersion: rbac.authorization.k8s.io/v1
> kind: RoleBinding
> metadata:
>   name: roleB-dev-team
>   namespace: dev-team
> roleRef:
>   apiGroup: rbac.authorization.k8s.io
>   kind: Role
>   name: role-dev-team
> subjects:
> - kind: ServiceAccount
>   name: dev-k8s
>   namespace: dev-team
> EOF
rolebinding.rbac.authorization.k8s.io/roleB-dev-team created

cat <<EOF | kubectl create -f -
> apiVersion: rbac.authorization.k8s.io/v1
> kind: RoleBinding
> metadata:
>   name: roleB-infra-team
>   namespace: infra-team
> roleRef:
>   apiGroup: rbac.authorization.k8s.io
>   kind: Role
>   name: role-infra-team
> subjects:
> - kind: ServiceAccount
>   name: infra-k8s
>   namespace: infra-team
> EOF
rolebinding.rbac.authorization.k8s.io/roleB-infra-team created

 

 

 

특정 네임스페이스에서 Role을 특정 사용자 또는 서비스 어카운트(ServiceAccount)에 연결하는 객체인 롤 바인딩을 생성한다.

Role을 단독으로 생성해도 아무 의미가 없으며 RoleBinding을 통해 서비스 어카운트와 연결해야 롤이 적용된다.

 

kubectl describe rolebindings roleB-dev-team -n dev-team
Name:         roleB-dev-team
Labels:       <none>
Annotations:  <none>
Role:
  Kind:  Role
  Name:  role-dev-team
Subjects:
  Kind            Name     Namespace
  ----            ----     ---------
  ServiceAccount  dev-k8s  dev-team

 

 

이제 서비스 어카운트에 제대로 권한이 할당되었다!

 

k1 get pods
NAME          READY   STATUS    RESTARTS   AGE
dev-kubectl   1/1     Running   0          8m31s

k2 get pods
NAME            READY   STATUS    RESTARTS   AGE
infra-kubectl   1/1     Running   0          8m24s

k1 auth can-i get pods
yes

k2 auth can-i get pods
yes

 

이제 권한을 갖고 있기 때문에 쿠버네티스 명령어로 해당 네임스페이스 내 리소스를 관리할 수 있다.