[AEWS] #6주차 Kyverno 실습 (5)

25년도 AWS EKS Hands-on Study 스터디 정리 내용입니다. KyvernoKyverno는 쿠버네티스 네이티브 정책 엔진으로 쿠버네티스 리소스에 대한 정책을 정의 / 검증 / 변환 / 적용하는 기능을 제공하며,쿠버네티스 CRD를 활용해 YAML 기반으로 정책을 정의할 수 있다. Validation (검증)잘못된 리소스가 클러스터에 생성되지 않도록 차단한다.Admission Controller로 동작하여 정책을 만족하지 않는 리소스는 Denied 처리한다.Mutation (변경)기존 리소스를 자동으로 수정할 수 있다.MutatingAdmissionWebhook을 활용하여 리소스를 실시간으로 변환한다.Generation (생성)특정 리소스가 생성될 때 자동으로 다른 리소스를 생성할 수 있다.이는..

• format_list_bulleted Infra/AWS
• · 2025. 3. 16.
• textsms

[AEWS] #6주차 IRSA 실습 (4)

25년도 AWS EKS Hands-on Study 스터디 정리 내용입니다. IRSAIRSA는 쿠버네티스의 서비스 어카운트(Service Account, SA)와 AWS IAM 역할(Role)을 연결하는 방법이다.기본적으로 쿠버네티스의 파드는 AWS 리소스(S3, DynamoDB 등)에 직접 접근할 수 없으며, AWS의 보안 정책에 따라 IAM 권한을 부여해야 한다. 기존에는 EC2 인스턴스에 IAM Role을 붙이는 방식을 사용했지만 이는 세분화된 권한 관리를 어렵게 만든다. IRSA를 사용하면 파드 단위로 IAM 권한을 부여할 수 있어 보안성과 유연성이 증가한다.불필요한 권한을 줄일 수 있음 → 특정 Pod에만 필요한 AWS 리소스 접근 권한을 부여 가능멀티테넌시 환경에서 보안 강화 → 동일한 클러스터..

• format_list_bulleted Infra/AWS
• · 2025. 3. 16.
• textsms

[AEWS] #6주차 EKS 인증/인가 (3)

25년도 AWS EKS Hands-on Study 스터디 정리 내용입니다. RBAC 권한 확인kubectl krew install access-matrix rbac-tool rbac-view rolesum whoami 실습을 위한 도구를 설치한다.access-matrix: 사용자의 RBAC 권한을 매트릭스로 확인rbac-tool: RBAC 역할(Role)과 바인딩 정보를 조회rbac-view: 웹 UI에서 RBAC 역할을 시각적으로 분석rolesum: RBAC 요약 정보를 제공whoami: 현재 컨텍스트에서의 인증된 사용자 확인kubectl rolesum aws-node -n kube-systemServiceAccount: kube-system/aws-nodeSecrets:Policies:• [CRB] ..

• format_list_bulleted Infra/AWS
• · 2025. 3. 16.
• textsms

[AEWS] #6주차 서비스 어카운트, role 권한 확인 실습 (2)

25년도 AWS EKS Hands-on Study 스터디 정리 내용입니다. K8s 인증/인가 실습쿠버네티스에서 dev-k8s 및 infra-k8s 서비스 어카운트를 생성하여, dev-team 네임스페이스 내에서 각각 다른 권한을 부여하고 테스트해보도록 한다. SA, 네임스페이스 생성kubectl create namespace dev-teamnamespace/dev-team createdkubectl create ns infra-teamnamespace/infra-team createdkubectl get nsNAME STATUS AGEdefault Active 72mdev-team Active 6sinfra-team ..

• format_list_bulleted Infra/AWS
• · 2025. 3. 16.
• textsms

[AEWS] #6주차 x.509 인증서 구조 및 검증 실습 (1)

25년도 AWS EKS Hands-on Study 스터디 정리 내용입니다. 쿠버네티스 x.509 인증서 실습docker exec -it myk8s-control-plane ls -l /etc/kubernetes/pkitotal 56-rw-r--r-- 1 root root 1123 Mar 15 17:33 apiserver-etcd-client.crt-rw------- 1 root root 1679 Mar 15 17:33 apiserver-etcd-client.key-rw-r--r-- 1 root root 1176 Mar 15 17:33 apiserver-kubelet-client.crt-rw------- 1 root root 1679 Mar 15 17:33 apiserver-kubelet-client.ke..

• format_list_bulleted Infra/AWS
• · 2025. 3. 16.
• textsms

AWS MFA 삭제 했을 때 조치 및 PC로 인증 변경

최근에 authenticator 어플 내 연동된 계정이 날아가면서 기존에 사용하던 2차 인증 코드가 날아가버렸다.나처럼 코드를 백업하지 않으신 분들께... mfa 분실 시 조치 방법과 pc authenticator로 변경하는 방법에 대해 작성해보았다. 기존 MFA 코드 분실 시aws 콘솔에 루트 계정으로 로그인 진입하고 MFA 코드 입력 부분 밑에 MFA 문제 해결 > 대체 팩터를 사용하여 로그인을 누른다. 기존에 가입했던 이메일로 인증 메일이 하나 오는데 이를 인증하고 나면 미국에서 전화가 온다.국제전화로 걸려오는데 화면에 나온 6자리 숫자를 입력하고 있으면 화면이 자동으로 변하면서 인증이 완료되었다는 메세지가 뜬다.이후 로그인하여 기존에 생성한 MFA는 지운다. PC AuthenticatorPC 크롬..

• format_list_bulleted Infra/AWS
• · 2025. 3. 10.
• textsms