기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# IAM 권한 경계
<a name="iam-permissions-boundary"></a>

[권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)는 자격 증명 기반 정책이 IAM 엔터티에 부여할 수 있는 최대 권한이 설정된 고급 AWS IAM 기능입니다. 여기서 해당 엔터티는 사용자 또는 역할입니다. 엔터티에 대한 권한 경계가 설정되면 해당 엔터티는 자격 증명 기반 정책과 권한 경계 모두에서 허용되는 작업만 수행할 수 있습니다.

eksctl에서 생성한 모든 자격 증명 기반 엔터티가 해당 경계 내에 생성되도록 권한 경계를 제공할 수 있습니다. 이 예제에서는 eksctl에서 생성한 다양한 자격 증명 기반 엔터티에 권한 경계를 제공하는 방법을 보여줍니다.

```
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig

metadata:
  name: cluster-17
  region: us-west-2

iam:
  withOIDC: true
  serviceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  fargatePodExecutionRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
  serviceAccounts:
    - metadata:
        name: s3-reader
      attachPolicyARNs:
      - "arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"

nodeGroups:
  - name: "ng-1"
    desiredCapacity: 1
    iam:
      instanceRolePermissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
```

**주의**  
역할 ARN과 권한 경계를 모두 제공할 수는 없습니다.

## VPC CNI 권한 경계 설정
<a name="_setting_the_vpc_cni_permission_boundary"></a>

OIDC가 활성화된 클러스터를 생성하면 eksctl은 [보안상의 이유로](security.md) VPC-CNI에 `iamserviceaccount` 대한를 자동으로 생성합니다. 권한 경계를 추가하려면 구성 파일`iamserviceaccount`에서를 수동으로 지정해야 합니다.

```
iam:
  serviceAccounts:
    - metadata:
        name: aws-node
        namespace: kube-system
      attachPolicyARNs:
      - "arn:aws:iam::<arn>:policy/AmazonEKS_CNI_Policy"
      permissionsBoundary: "arn:aws:iam::11111:policy/entity/boundary"
```