ASCP for Amazon EKS 설치 - AWS Systems Manager
사전 조건ASCP 설치 및 구성설치 확인문제 해결추가 리소스

• AWS Systems Manager Change Manager는 더 이상 신규 고객에게 공개되지 않습니다. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 AWS Systems Manager Change Manager 가용성 변경을 참조하세요.

 

• AWS Systems Manager CloudWatch 대시보드는 2026년 4월 30일 이후에는 더 이상 사용할 수 없습니다. 고객은 Amazon CloudWatch 콘솔을 계속 사용하여 현재와 마찬가지로 Amazon CloudWatch 대시보드를 보고, 생성하고, 관리할 수 있습니다. 자세한 내용은 Amazon CloudWatch 대시보드 설명서를 참조하세요.

ASCP for Amazon EKS 설치

이 섹션에서는 AWS Secrets and Configuration Provider for Amazon EKS 설치 방법을 설명합니다. ASCP를 사용하여 Parameter Store의 파라미터와 AWS Secrets Manager의 보안 암호를 Amazon EKS 포드에 파일로 탑재할 수 있습니다.

사전 조건

  • Amazon EKS 클러스터

    • Pod Identity 버전 1.24 이상

    • IRSA 버전 1.17 이상

  • AWS CLI 설치 및 구성

  • Amazon EKS 클러스터에 kubectl 설치 및 구성

  • Helm(버전 3.0 이상)

ASCP 설치 및 구성

ASCP는 secrets-store-csi-provider-aws 리포지토리의 GitHub에서 제공됩니다. 리포지토리에는 objectType 값을 secretsmanager에서 ssmparameter로 변경하여 보안 암호를 생성 및 탑재하기 위한 예제 YAML 파일도 포함되어 있습니다.

설치 과정에서, FIPS 엔드포인트를 사용하도록 ASCP를 구성할 수 있습니다. Systems Manager 엔드포인트 목록은 Amazon Web Services 일반 참조Systems Manager 서비스 엔드포인트를 참조하세요.

Helm을 사용하여 ASCP를 설치하는 방법

  1. 리포지토리가 최신 차트를 가리키고 있는지 확인하려면 helm repo update.를 사용합니다.

  2. Secrets Store CSI Driver 차트를 추가합니다.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts

  3. 차트를 설치합니다. 스로틀링을 구성하려면 다음 플래그를 추가합니다. --set-json 'k8sThrottlingParams={"qps": "number of queries per second", "burst": "number of queries per second"}' 

    helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver

  4. ASCP 차트를 추가합니다.

    helm repo add aws-secrets-manager https://aws.github.io/secrets-store-csi-driver-provider-aws

  5. 차트를 설치합니다. FIPS 엔드포인트를 사용하려면 다음 플래그를 추가합니다. --set useFipsEndpoint=true 

    helm install -n kube-system secrets-provider-aws aws-secrets-manager/secrets-store-csi-driver-provider-aws
리포지토리에서 YAML을 사용하여 설치하는 방법

  • 다음 명령을 사용합니다.

    helm repo add secrets-store-csi-driver https://kubernetes-sigs.github.io/secrets-store-csi-driver/charts
helm install -n kube-system csi-secrets-store secrets-store-csi-driver/secrets-store-csi-driver
kubectl apply -f https://raw.githubusercontent.com/aws/secrets-store-csi-driver-provider-aws/main/deployment/aws-provider-installer.yaml

설치 확인

EKS 클러스터, Secrets Store CSI 드라이버 및 ASCP 플러그인의 설치를 확인하려면 다음 단계를 따릅니다.

  1. EKS 클러스터 확인:

    eksctl get cluster --name clusterName

    이 명령을 사용하면 클러스터에 대한 정보가 반환되어야 합니다.

  2. Secrets Store CSI 드라이버 설치를 확인합니다.

    kubectl get pods -n kube-system -l app=secrets-store-csi-driver

    csi-secrets-store-secrets-store-csi-driver-xxx와 같이 이름과 함께 실행 중인 포드가 표시될 것입니다.

  3. ASCP 플러그인 설치 확인:

    YAML installation
    $ kubectl get pods -n kube-system -l app=csi-secrets-store-provider-aws

    출력 예시:

    NAME                                     READY   STATUS    RESTARTS   AGE
csi-secrets-store-provider-aws-12345      1/1     Running   0          2m
    Helm installation
    $  kubectl get pods -n kube-system -l app=secrets-store-csi-driver-provider-aws

    출력 예시:

    NAME                                              READY   STATUS    RESTARTS   AGE
secrets-provider-aws-secrets-store-csi-driver-provider-67890       1/1     Running   0          2m

    포드가 Running 상태로 표시될 것입니다.

명령을 실행한 후 모든 것이 올바르게 설정되면 오류 없이 실행 중인 모든 구성 요소가 표시됩니다. 문제가 발생하면 문제가 있는 특정 포드의 로그를 확인하여 문제를 해결해야 할 수 있습니다.

문제 해결

  1. 다음을 실행하여 ASCP 공급자의 로그 확인:

    kubectl logs -n kube-system -l app=csi-secrets-store-provider-aws

  2. kube-system 네임스페이스에서 모든 포드의 상태를 확인합니다.

    기본 자리 표시자 텍스트를 자신의 포드 ID로 바꿉니다.

    kubectl -n kube-system get pods
    kubectl -n kube-system logs pod/pod-id

    CSI 드라이버 및 ASCP와 관련된 모든 포드는 'Running' 상태여야 합니다.

  3. CSI 드라이버 버전 확인:

    kubectl get csidriver secrets-store.csi.k8s.io -o yaml

    이 명령을 사용하면 설치된 CSI 드라이버에 대한 정보가 반환되어야 합니다.

추가 리소스

Amazon EKS에서 ASCP 사용에 대한 자세한 내용은 다음 리소스를 참조하세요.