이 문서는 2021년 11월에 출시된 AWS용 Anthos 클러스터의 현재 버전을 대상으로 합니다. 자세한 정보는 출시 노트를 참조하세요. 이전 세대의 Anthos clusters on AWS에 대한 문서는 이전 세대를 참조하세요.

AWS IAM 역할 정보

이 페이지에서는 Google Cloud에서 AWS용 GKE에 대한 AWS Identity and Access Management(IAM) 권한과 역할을 관리하는 방법을 설명합니다.

AWS용 GKE는 AWS API를 사용하여 EC2 인스턴스, 자동 확장 그룹, AWS용 GKE 구성요소와 워크로드 모두를 위한 부하 분산기와 같은 리소스를 만듭니다. 이러한 리소스를 만들려면 AWS IAM 권한을 Google Cloud에 제공해야 합니다.

AWS용 GKE에서 AWS API에 액세스하는 방법

AWS용 GKE는 AWS의 ID 제휴를 사용하여 AWS 계정에 대한 세부 조정된 액세스 권한을 관리합니다. AWS용 GKE가 클러스터에 작업을 수행해야 하는 경우 AWS에서 단기 토큰을 요청합니다. GKE Multi-Cloud API 역할은 이 토큰을 사용하여 AWS에 인증합니다.

서비스 에이전트

AWS 계정에서 클러스터를 만들고 업데이트하고 삭제하며 관리할 수 있는 액세스 권한을 Google Cloud에 부여하기 위해 AWS용 GKE는 Google Cloud 프로젝트에 서비스 에이전트를 만듭니다. 서비스 에이전트는 GKE Multi-Cloud API AWS IAM 역할을 사용하는 Google 관리 서비스 계정입니다. GKE 클러스터를 관리하는 Google Cloud 프로젝트마다 서비스 에이전트에 대한 AWS IAM 역할을 만들어야 합니다. 서비스 에이전트에는 이메일 주소 service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com이 사용됩니다. Google Cloud IAM 권한에 대한 자세한 내용은 Anthos 멀티 클라우드 서비스 에이전트를 참조하세요.

AWS용 GKE의 AWS IAM 권한

기본 AWS IAM 역할을 사용하는 역할을 만들거나 조직 요구사항을 충족시키는 고유한 커스텀 AWS IAM 정책을 만들 수 있습니다.

기본 정책 사용

AWS IAM 정책은 권한의 집합입니다. 클러스터를 만들고 관리할 수 있는 권한을 부여하려면 먼저 다음 역할에 대해 AWS IAM 정책을 만들어야 합니다.

GKE Multi-Cloud API 서비스 에이전트 역할: GKE Multi-Cloud API는 이 AWS IAM 역할을 사용해서 AWS API를 사용하여 리소스를 관리합니다. 이 역할은 서비스 에이전트라고 하는 Google 관리 서비스 계정에 사용됩니다.
제어 영역 AWS IAM 역할: 클러스터 제어 영역은 이 역할을 사용해서 노드 풀을 제어합니다.
노드 풀 AWS IAM 역할: 제어 영역은 이 역할을 사용하여 노드 풀 VM을 만듭니다.

AWS용 GKE에 권장되는 AWS IAM 역할을 사용하여 클러스터를 관리하려면 AWS IAM 역할 만들기를 참조하세요.

커스텀 IAM 정책 만들기

권장되는 정책을 사용하는 대신 권한을 더 제한하려면 AWS용 GKE를 허용하는 커스텀 AWS IAM 정책을 만들면 됩니다. 예를 들어 특정 태그를 사용하는 리소스 또는 특정 AWS VPC의 리소스로 권한을 제한할 수 있습니다.

태그로 액세스 제어

AWS 태그를 사용하여 제한된 리소스 집합에서만 작업을 허용하도록 AWS IAM 정책을 제한할 수 있습니다. 조건 필드에 지정된 태그를 사용하는 역할은 동일한 태그를 사용하는 리소스로 작업이 제한됩니다. 이를 사용하여 특정 클러스터 또는 노드 풀의 리소스 작업으로 관리 역할을 제한할 수 있습니다.

특정 태그가 있는 리소스에만 적용되도록 AWS IAM 정책을 제한하려면 정책의 Condition 필드에 태그 값을 포함한 후 클러스터 및 노드 풀을 만들 때 이 태그 값을 전달합니다. AWS용 GKE는 리소스를 만들 때 이 태그를 적용합니다.

태그에 대한 자세한 내용은 AWS 리소스 태그 지정을 참조하세요. AWS 정책에서 태그 사용에 대한 자세한 내용은 AWS 리소스에 대한 액세스 제어를 참조하세요.

특정 태그를 사용하여 클러스터 리소스 만들기에 대한 자세한 내용은 gcloud container aws clusters create 및 gcloud container aws node-pools create 참조 문서를 확인하세요.

정책마다 AWS용 GKE에 필요한 특정 권한 목록은 AWS IAM 역할 목록을 참조하세요.