Kubernetes API에 대한 쓰기 액세스 권한을 AWS 서비스에 부여 - Amazon EKS
필수 권한CloudTrail 가시성

이 페이지 개선에 도움 주기

이 사용자 가이드에 기여하려면 모든 페이지의 오른쪽 창에 있는 GitHub에서 이 페이지 편집 링크를 선택합니다.

Kubernetes API에 대한 쓰기 액세스 권한을 AWS 서비스에 부여

필수 권한

AWS 서비스가 Amazon EKS 클러스터의 Kubernetes 리소스에서 쓰기 작업을 수행할 수 있도록 하려면 eks:AccessKubernetesApieks:MutateViaKubernetesApi IAM 권한을 모두 부여해야 합니다.

예를 들어 Amazon SageMaker HyperPod는 이러한 권한을 사용하여 SageMaker AI Studio에서 모델 배포를 지원합니다. 자세한 내용은 Amazon SageMaker AI 개발자 안내서의 Set up optional JavaScript SDK permissions를 참조하세요.

중요

생성, 업데이트 및 삭제와 같은 쓰기 작업에는 두 권한이 모두 필요합니다. 두 권한 중 하나가 누락된 경우 쓰기 작업에 실패합니다.

CloudTrail 가시성

Kubernetes 리소스에서 쓰기 작업을 수행하는 동안 CloudTrail 로그에 특정 작업 이름이 표시됩니다.

  • createKubernetesObject - 새 리소스를 생성하는 경우

  • updateKubernetesObject - 기존 리소스를 수정하는 경우

  • deleteKubernetesObject - 리소스를 제거하는 경우

이러한 CloudTrail 이벤트는 Kubernetes 리소스에서 수정된 모든 사항에 대한 자세한 감사 추적을 제공합니다.

참고

이러한 작업 이름은 감사 목적으로만 CloudTrail 로그에 표시됩니다. 이는 IAM 작업이 아니며 IAM 정책 설명에 사용할 수 없습니다. IAM 정책을 통해 Kubernetes 리소스에 대한 쓰기 액세스를 제어하려면 필수 권한 섹션에 표시된 eks:MutateViaKubernetesApi 권한을 사용합니다.