기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Elastic Kubernetes Service에서 AWS Secrets Manager 보안 암호 사용
AWS Secrets Manager (ASCP)의 보안 암호를 Amazon EKS 포드에 탑재된 파일로 표시하려면 Kubernetes AWS 보안 암호 스토어 CSI 드라이버의 보안 암호 및 구성 공급자를 사용할 수 있습니다. ASCP는 Amazon EC2 노드 그룹을 실행하는 Amazon Elastic Kubernetes Service 1.17 이상에서 작동합니다. AWS Fargate 노드 그룹은 지원되지 않습니다. ASCP를 사용하면 Secrets Manager 보안 암호를 저장 및 관리한 후 Amazon EKS에서 실행되는 워크로드를 통해 해당 검색할 수 있습니다. 보안 암호에 JSON 형식의 키-값 페어가 여러 개 포함된 경우 Amazon EKS에 탑재할 키-값 페어를 선택할 수 있습니다. ASCP는 JMESPath 구문을 사용하여 보안 암호의 키-값 쌍을 쿼리할 수 있습니다. ASCP는 파라미터 스토어 파라미터로도 작동합니다. ASCP는 Amazon EKS를 사용한 두 가지 인증 방법을 제공합니다. 첫 번째 접근 방식은 IRSA(서비스 계정에 대한 IAM 역할)를 사용합니다. 두 번째 접근 방식은 Pod Identity를 사용합니다. 각 접근 방식에는 이점과 사용 사례가 있습니다.
IRSA(서비스 계정에 대한 IAM 역할)를 사용하는 ASCP
서비스 계정에 대한 IAM 역할(IRSA)이 있는 ASCP를 사용하면의 보안 암호를 Amazon EKS 포드의 AWS Secrets Manager 파일로 탑재할 수 있습니다. 이 접근 방식이 적합한 경우:
보안 암호를 포드에 파일로 탑재해야 합니다.
Amazon EC2 노드 그룹에서 Amazon EKS 버전 1.17 이상을 사용하고 있습니다.
JSON 형식의 보안 암호에서 특정 키-값 페어를 검색하려고 합니다.
자세한 내용은 서비스 계정에 대한 IAM 역할(IRSA)과 함께 AWS 보안 암호 및 구성 공급자 CSI 사용 단원을 참조하십시오.
Pod Identity를 사용하는 ASCP
포드 ID가 포함된 ASCP 메서드는 보안을 강화하고 Amazon EKS의 보안 암호에 액세스하기 위한 구성을 간소화합니다. 이 접근 방식이 유용한 경우:
-
포드 수준에서 더 세분화된 권한 관리가 필요합니다.
-
Amazon EKS 버전 1.24 이상을 사용하고 있습니다.
-
성능 및 확장성 개선을 원합니다.
자세한 내용은 Amazon EKS용 포드 자격 증명과 함께 AWS 보안 암호 및 구성 공급자 CSI 사용 단원을 참조하십시오.
올바른 접근 방식 선택
IRSA를 사용하는 ASCP와 Pod Identity를 사용하는 ASCP 중에서 결정할 때 고려할 요소:
Amazon EKS 버전: Pod Identity의 경우 Amazon EKS 1.24 이상이 필요한 반면 CSI 드라이버는 Amazon EKS 1.17 이상을 사용합니다.
보안 요구 사항: Pod Identity는 포드 수준에서 더 세분화된 제어가 가능합니다.
성능: Pod Identity는 일반적으로 대규모 환경에서 더 나은 성능을 발휘합니다.
복잡성: Pod Identity는 별도의 서비스 계정이 필요하지 않아 설정이 간소화됩니다.
특정 요구 사항 및 Amazon EKS 환경에 가장 적합한 방법을 선택합니다.
