Upgrade to Pro — share decks privately, control downloads, hide ads and more …

EKSの認証認可の仕組みとEKS APIを用いた認可制御について

高棹大樹
March 07, 2024
Technology
1
590

EKSの認証認可の仕組みとEKS APIを用いた認可制御について

高棹大樹

March 07, 2024
Tweet

More Decks by 高棹大樹

See All by 高棹大樹
私とKubernetesとKubestronaut
daitak
1
100
私とKubestronaut
daitak
0
100
私の推しサービス:Elastic Kubernetes Service(EKS)
daitak
1
290
EKSと動的プロビショニングEFSを 使ったマルチリージョンDR
daitak
0
320
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
790

Other Decks in Technology

See All in Technology
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
SSMRunbook作成の勘所_20241120
koichiotomo
2
130
Terraform Stacks入門 #HashiTalks
msato
0
350
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
フルカイテン株式会社 採用資料
fullkaiten
0
40k
エンジニア人生の拡張性を高める 「探索型キャリア設計」の提案
tenshoku_draft
1
120
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
アジャイルでの品質の進化 Agile in Motion vol.1/20241118 Hiroyuki Sato
shift_evolve
0
110
The Role of Developer Relations in AI Product Success.
giftojabu1
0
120

Featured

See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Speed Design
sergeychernyshev
25
620
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Side Projects
sachag
452
42k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
229
52k
Designing Experiences People Love
moore
138
23k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Six Lessons from altMBA
skipperchong
27
3.5k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k

Transcript

  1. EKSの認証認可の仕組みと EKS APIを用いた認可制御について JAWS-UG コンテナ支部 #26 新春大LT祭り 2024年3月7日 株式会社野村総合研究所 マルチクラウドインテグレーション事業本部

    金融基盤サービス部 高棹 大樹

  2. 1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    高棹 大樹 – Daiki Takasao NRI 金融基盤サービス部 • 金融機関様向けEKSを用いたマイクロサービス共通基盤 のインフラ担当 主な仕事 趣味 最近の困り事 • キャンプ • 筋トレ • 子供と遊ぶ(相手をしてくれる内に。。) • 飼っている猫が懐いてくれない

  3. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに ◼すこしややこしい、これまでのEKSクラスタ接続時の認証認可の仕組みをおさらいしつつ、 昨年末にリリースされたEKS APIを用いた認可制御についてお伝えいたします ◼JAWSの登壇初めてですのでおてやわらかに。。

  4. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    kubernetesの認証認可について 01 EKSの認証認可について 02 EKS APIを用いた認可制御について 03

  5. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    そもそも認証/認可って何? 1.kubernetesの認証認可について ◼認証(Authentication):利用者が本物であるかどうかを確認するプロセス ⚫ パスワード認証、公開鍵認証、他要素認証など色々あるがどれも本人確認のためのプロセス ◼認可(Authorization):認証済みの利用者にリソースへの適切なアクセス権限を付与するプロセス ⚫ Aさんは◦◦システムの管理者だから、◦◦システム内の全てのリソースへの読み書き権限を付与しよう etc..

  6. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    kubernetesクラスタ接続時の認証方法 1.kubernetesの認証認可について ◼kubernetesのcli(kubectl)の設定ファイル(kubeconfig)に記載された証明書、秘密鍵で認証 ◼パスワード認証の機能はkubernetesには無い controlplane ~ ? cat .kube/config apiVersion: v1 clusters: - cluster: ~~(中略)~~ users: - name: user-a user: client-certificate-data: #{証明書をBase64エンコードしたもの} client-key-data: #{秘密鍵をBase64エンコードしたもの}

  7. 6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    kubernetesクラスタ接続時の認証方法 1.kubernetesの認証認可について ◼kubernetesクラスタが認証局となって証明書を発行 ① opensslコマンドで秘密鍵とCSRを作成 ② CertificateSigningRequest オブジェクトを作成 ③ ②のCSRオブジェクトをapproveして証明書発行 ④ 発行した証明書をkubeconfigに張り付け(前スライドのもの) apiVersion: certificates.k8s.io/v1 kind: CertificateSigningRequest metadata: name: user-a spec: request: #{CSRをBase64エンコードしたもの} signerName: kubernetes.io/kube-apiserver-client expirationSeconds: 86400 # one day usages: - client auth kubectl certificate approve user-a ③証明書発行コマンド ②CertificateSigningRequestオブジェクトのマニフェスト

  8. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    kubernetesの認可の仕組み 1.kubernetesの認証認可について ◼kubernetesの認可はRole-Based Access Control(RBAC) で実現される ◼認証されたUser/GroupとRoleを紐付け(Rolebinding)する事で認可制御を行う Namespace A 管理用Role Namespace A 参照用Role Namespace B 管理用Role Namespace A Namespace B 参照 のみ 全アクション 許可 全アクション 許可 Namespace A 管理用RoleBding Namespace A 参照用RoleBding Namespace B 管理用RoleBding user-a user-b Namespace A,Bの 管理者になりたい Namespace A内の リソースを参照したい kubeconfigで指定したUser

  9. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    kubernetesの認証認可について 01 EKSの認証認可について 02 EKS APIを用いた認可制御について 03

  10. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS(Elastic Kubernetes Service)とは? 2.EKSの認証認可について ◼ AWSのマネージドKubernetesサービス ◼ コントロールプレーンの管理が不要、 IAMユーザ/ロールによる認証(k8sでの証明書管理が不要)、などがメリット コントロールプレーンの管理が不要 コンテナ コンテナ コンテナ IAMユーザ/ロールによる認証 コントロールプレーン: ワーカーノードやコンテナの稼働を管理 ワーカーノード: コンテナの稼働環境

  11. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    aws-auth Configmapを用いたIAM連携 2.EKSの認証認可について ◼IAMユーザ/ロールとk8s User/Groupの紐付けをaws-authというConfigmapで設定する controlplane ~ ? kubectl describe cm aws-auth -n kube-system Name: aws-auth Namespace: kube-system ~~(中略)~~ Data ==== mapRoles: ---- ~~(中略)~~ - rolearn: #{IAMユーザ/ロールのARN} username: #{User名} groups: - #{Group名} controlplane ~ ? cat .kube/config apiVersion: v1 clusters: - cluster: ~~(中略)~~ users: - name: user-a user: exec: apiVersion: client.authentication.k8s.io/v1beta1 args: - eks - get-token - --cluster-name - my-eks - --region - ap-northeast-1 command: aws ~~(中略)~~ IAMユーザ/ロールの権限で aws cliを実行しトークン取得 IAMとk8s User/Group の紐付けを設定する

  12. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    aws-auth Configmapを用いたIAM連携 2.EKSの認証認可について ◼絵にすると以下のイメージ ◼k8sのRBAC設定(Rolebinding,Role)は個別に用意する必要あり ◼aws-auth Configmapのメンテも必要でちょっと複雑 aws-auth Configmap user-a用 IAMユーザ/ロール user-b用 IAMユーザ/ロール

  13. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    kubernetesの認証認可について 01 EKSの認証認可について 02 EKS APIを用いた認可制御について 03

  14. 13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIを用いた認可制御について 3.EKS APIを用いた認可制御について ◼aws-auth Configmapの代替として最近出た連携方式 ◼aws-auth Configmapはもちろん、k8s のRBACを作成せずに認可制御ができる様になった! ◼新しい2つの概念 EKS access entry: AWS IAMユーザ/ロールに直接紐付くID EKS access policy: EKSプリセットの認可ポリシー

  15. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIを用いた認可制御について 3.EKS APIを用いた認可制御について ◼以下のEKS access policyが用意されている ◼k8sプリセットのClusterRoleにそれぞれ対応している AmazonEKSClusterAdminPolicy - cluster-admin AmazonEKSAdminPolicy - admin AmazonEKSEditPolicy - edit AmazonEKSViewPolicy - view 権限レベル 強 弱

  16. 15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    aws-auth Configmapとの比較 3.EKS APIを用いた認可制御について ◼aws-auth Configmap ◼EKS API aws-auth Configmap user-a用 IAMユーザ/ロール user-b用 IAMユーザ/ロール Namespace A Namespace B access policy EKSAdminPolicy access policy EKSViewPolicy 全アクション 許可 参照のみ access entry user-a用 IAMユーザ/ロール RBACやaws-authを作成しなくてよい!シンプル! access entry user-b用 IAMユーザ/ロール

  17. 16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIの実機検証① 3.EKS APIを用いた認可制御について ◼APIを用いたIAM連携を試してみた ① まずEKS access entry作成する 対象EKSクラスタ名を指定 対象IAMユーザ/ロールを指定 access entryが作成された

  18. 17 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIの実機検証① 3.EKS APIを用いた認可制御について ② 作成したaccess entryをaccess policyに関連付ける 対象EKSクラスタ名を指定 対象IAMユーザ/ロールを指定 関連付けするaccess policyを指定 権限の範囲を指定 今回は”apl-a” Namespaceへのアクセスを指定している access entryに関連付けられた access policyが表示される

  19. 18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIの実機検証① 3.EKS APIを用いた認可制御について ③ 稼働確認 access policyが効いているので apl-aのリソースにはアクセスできる 他のNamespace(ここでは default)にはアクセスできない

  20. 19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    access entryとkubernete RBACとの連携 3.EKS APIを用いた認可制御について ◼access policyは便利な反面、k8sのリソース種別単位の権限付与等細かい制御はできない ⚫ 例: Namespace内のPodのみアクセスさせたいが他リソース(Configmap,Secret等)にはアクセスさせたくない ◼access entryに設定したGroupをk8s RBACに関連付ける事で実現可能 Namespace A access entry user-a用 IAMユーザ/ロール pod configmap secret pvc Namespace A Pod管理用Role Namespace A Pod管理用 RoleBding Group ・・・

  21. 20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIの実機検証② 3.EKS APIを用いた認可制御について ◼access entryとk8s RBAC連携も試してみた ① Groupを指定してEKS access entry作成する Group名を指定してaccess entry作成

  22. 21 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIの実機検証② 3.EKS APIを用いた認可制御について ② 必要な権限を付与したRole作成 ※スクショ割愛 ③ ①のGroupを指定してRolebinding作成 Roleを指定 Groupを指定

  23. 22 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    EKS APIの実機検証② 3.EKS APIを用いた認可制御について ④ 一応稼働確認 Podは作成できる Configmap,Secretは作成できない

  24. 23 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    まとめ ◼EKS APIを用いる事でIAMを用いたEKSクラスタ接続設定が簡単になった! ◼大体の用途であれば、 access policyで事足りるはず ◼access entryはk8s RBACと連携可能なので、きめ細かい権限制御もやろうと思えばできる ◼kubernetesマニフェストの様にaccess entryやaccess policyとの関連付けの内容を宣言的に 管理できるとなお良いかも
  25. None