AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post

Amazon EKS 클러스터용 kubeconfig 파일을 생성할 수 없는 이유는 무엇인가요?

2분 분량
0

Amazon EKS(Amazon Elastic Kubernetes Service) 클러스터용 kubeconfig 파일을 생성하려고 할 때 AccessDeniedException 오류가 발생합니다.

간략한 설명

Amazon EKS 클러스터용 kubeconfig 파일을 생성하려면 클러스터로 eks:DescribeCluster API 작업을 사용할 수 있는 권한이 있어야 합니다. 권한을 얻으려면 IAM(AWS Identity and Access Management) 정책을 IAM 사용자에게 연결합니다.

해결 방법

IAM 정책을 IAM 사용자에게 연결하려면 다음 단계를 완료하세요.

1.    IAM 콘솔을 엽니다.

2.    탐색 창에서 **사용자 또는 역할(Users or Roles)**을 선택합니다.

3.    정책을 포함할 **사용자 또는 역할(Users or Roles)**의 이름을 선택합니다.

4.    권한(Permissions) 탭에서 **인라인 정책 추가(Add inline policy)**를 선택합니다.

5.    [JSON] 탭을 선택합니다.

6.    텍스트 편집기를 사용해 코드를 다음 IAM 정책으로 바꿉니다.

{
   "Version": "2012-10-17",
   "Statement": [
       { 
            "Effect": "Allow",
            "Action": [
                "eks:DescribeCluster"
            ],
            "Resource": "*"
       }
    ]
}

7.    **정책 검토(Review policy)**를 선택합니다.

8.    **이름(Name)**에 정책의 이름을 입력합니다. 예: eks_update-kubeconfig

참고: 정책에 대하여 임의의 이름을 선택할 수 있습니다.

9.    **정책 생성(Create policy)**을 선택합니다.

명시적 거부 메시지는 멀티 팩터 인증(MFA)이 false인 경우, 대부분의 작업을 거부하는 IAM 정책이 있음을 나타냅니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "BlockMostAccessUnlessSignedInWithMFA",
      "Effect": "Deny",
      "NotAction": [
        "iam:CreateVirtualMFADevice",
        "iam:EnableMFADevice",
        "iam:ListMFADevices",
        "iam:ListUsers",
        "iam:ListVirtualMFADevices",
        "iam:ResyncMFADevice",
        "sts:GetSessionToken"
      ],
      "Resource": "*",
      "Condition": {
        "BoolIfExists": {
          "aws:MultiFactorAuthPresent": "false"
        }
      }
    }
  ]
}

참고: MFA 디바이스를 사용하기 때문에 AWS CLI(AWS Command Line Interface)로 AWS 리소스에 대한 액세스를 인증하려면 MFA 토큰을 사용해야 합니다. MFA 토큰을 사용하여 AWS CLI를 통해 AWS 리소스에 대한 액세스를 인증하려면 어떻게 해야 하나요? 문서의 단계를 따릅니다. 그런 다음 sts get-session-token AWS CLI 명령을 실행합니다.

예를 들어 다음과 같습니다.

$ aws sts get-session-token --serial-number arn-of-the-mfa-device --token-code code-from-token

참고: arn-of-the-mfa-device를 MFA 디바이스의 ARN으로 바꾸고 code-from-token을 토큰의 코드로 바꿉니다.

값을 환경 변수로 내보내서 임시 자격 증명을 사용할 수 있습니다.

예를 들어 다음과 같습니다.

$ export AWS_ACCESS_KEY_ID=example-access-key-as-in-previous-output

$ export AWS_SECRET_ACCESS_KEY=example-secret-access-key-as-in-previous-output

$ export AWS_SESSION_TOKEN=example-session-token-as-in-previous-output

update-kubeconfig 명령을 실행하고 ~/.kube/config에서 설정 파일을 업데이트하는지 확인합니다.

aws eks --region region-code update-kubeconfig --name cluster_name

참고: region-code를 AWS 리전의 코드로 바꾸고 cluster name을 클러스터 이름으로 바꿉니다.

주제
컨테이너
태그
Amazon Elastic Kubernetes Service
언어
한국어
AWS 공식
AWS 공식업데이트됨 2년 전
댓글 없음

관련 콘텐츠