EKS 자동 모드에 대한 조직 제어 업데이트 - Amazon EKS
EKS 자동 모드 AMI를 제외한 모든 AMI를 차단하는 SCP 예제EKS 자동 모드 AMI 계정퍼블릭 IP 주소 연결

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

EKS 자동 모드에 대한 조직 제어 업데이트

일부 조직 제어로 인해 EKS 자동 모드가 제대로 작동하지 않을 수 있습니다. 이 경우 EKS 자동 모드가 사용자를 대신하여 EC2 인스턴스를 관리하는 데 필요한 권한을 갖도록 해당 제어를 업데이트해야 합니다.

EKS 자동 모드는 서비스 역할을 사용하여 EKS 자동 모드 노드를 지원하는 EC2 인스턴스를 시작합니다. 서비스 역할은 사용자의 계정에서 생성된 IAM 역할로, 서비스가 사용자를 대신하여 작업을 수행하기 위해 수임하는 역할입니다. 서비스 역할로 수행되는 작업에는 서비스 제어 정책(SCP)이 항상 적용됩니다. 이를 통해 SCP는 자동 모드의 작동을 억제할 수 있습니다. SCP를 사용하여 시작할 수 있는 Amazon Machine Image(AMI)를 제한하는 경우가 가장 일반적인 예입니다. EKS 자동 모드가 작동하도록 하려면 EKS 자동 모드 계정에서 AMI를 시작할 수 있게 SCP를 수정합니다.

EC2 허용된 AMI 기능을 사용하여 다른 계정에 있는 AMI의 가시성을 제한할 수도 있습니다. 이 기능을 사용하는 경우 관심 리전에 EKS 자동 모드 AMI 계정도 포함하도록 이미지 기준을 확장해야 합니다.

EKS 자동 모드 AMI를 제외한 모든 AMI를 차단하는 SCP 예제

아래 SCP는 AMI가 us-west-2 또는 us-east-1의 EKS 자동 모드 AMI 계정에 속하지 않는 한 ec2:RunInstances를 직접적으로 호출하지 못하도록 합니다.

참고

ec2:Owner 컨텍스트 키를 사용하지 않는 것이 중요합니다. Amazon은 EKS 자동 모드 AMI 계정을 소유하며 이 키의 값은 항상 amazon입니다. ec2:Owneramazon인 경우 AMI를 시작할 수 있는 SCP를 구성하면 EKS 자동 모드용 AMI뿐만 아니라 Amazon이 소유한 모든 AMI를 시작할 수 있습니다.*

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DenyAMI",
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "arn:*:ec2:*::image/ami-*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "767397842682",
            "992382739861"
          ]
        }
      }
    }
  ]
}

EKS 자동 모드 AMI 계정

리전별로 다른 AWS 계정이 EKS 자동 모드 퍼블릭 AMI를 호스팅합니다.

AWS 리전

계정

af-south-1

471112993317

ap-east-1

590183728416

ap-northeast-1

851725346105

ap-northeast-2

992382805010

ap-northeast-3

891377407544

ap-south-1

975049899075

ap-south-2

590183737426

ap-southeast-1

339712723301

ap-southeast-2

58264376476

ap-southeast-3

471112941769

ap-southeast-4

590183863144

ap-southeast-5

654654202513

ap-southeast-7

533267217478

ca-central-1

992382439851

ca-west-1

767397959864

eu-central-1

891376953411

eu-central-2

381492036002

eu-north-1

339712696471

eu-south-1

975049955519

eu-south-2

471112620929

eu-west-1

381492008532

eu-west-2

590184142468

eu-west-3

891376969258

il-central-1

590183797093

me-central-1

637423494195

me-south-1

905418070398

mx-central-1

211125506622

sa-east-1

339712709251

us-east-1

992382739861

us-east-2

975050179949

us-west-1

975050035094

us-west-2

767397842682

퍼블릭 IP 주소 연결

ec2:RunInstances가 호출되면 인스턴스 시작의 AssociatePublicIpAddress 필드는 인스턴스가 시작되는 서브넷 유형에 따라 자동으로 결정됩니다. SCP를 사용하여 시작되는 서브넷 유형과 무관하게 이 값을 명시적으로 false로 설정할 수 있습니다. 이 경우 SCP의 요구 사항을 충족하기 위해 NodeClass 필드 spec.advancedNetworking.associatePublicIPAddress를 false로 설정할 수도 있습니다.

  {
        "Sid": "DenyPublicEC2IPAddesses",
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:network-interface/*",
        "Condition": {
            "BoolIfExists": {
                "ec2:AssociatePublicIpAddress": "true"
            }
        }
    }