EKSの認証認可の仕組みとEKS APIを用いた認可制御について

by 高棹大樹

Slide 1

Slide 1 text

EKSの認証認可の仕組みと EKS APIを用いた認可制御について JAWS-UG コンテナ支部 #26 新春大LT祭り 2024年3月7日株式会社野村総合研究所マルチクラウドインテグレーション事業本部金融基盤サービス部高棹大樹

Slide 2

Slide 2 text

1 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. 高棹大樹 – Daiki Takasao NRI 金融基盤サービス部 • 金融機関様向けEKSを用いたマイクロサービス共通基盤のインフラ担当主な仕事趣味最近の困り事 • キャンプ • 筋トレ • 子供と遊ぶ(相手をしてくれる内に。。) • 飼っている猫が懐いてくれない

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

4 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. そもそも認証/認可って何？ 1.kubernetesの認証認可について ◼認証(Authentication):利用者が本物であるかどうかを確認するプロセス ⚫ パスワード認証、公開鍵認証、他要素認証など色々あるがどれも本人確認のためのプロセス ◼認可(Authorization):認証済みの利用者にリソースへの適切なアクセス権限を付与するプロセス ⚫ Aさんは○○システムの管理者だから、○○システム内の全てのリソースへの読み書き権限を付与しよう etc..

Slide 6

Slide 6 text

5 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. kubernetesクラスタ接続時の認証方法 1.kubernetesの認証認可について ◼kubernetesのcli(kubectl)の設定ファイル(kubeconfig)に記載された証明書、秘密鍵で認証 ◼パスワード認証の機能はkubernetesには無い controlplane ~ ? cat .kube/config apiVersion: v1 clusters: - cluster: ～～(中略)～～ users: - name: user-a user: client-certificate-data: #{証明書をBase64エンコードしたもの} client-key-data: #{秘密鍵をBase64エンコードしたもの}

Slide 7

Slide 7 text

6 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. kubernetesクラスタ接続時の認証方法 1.kubernetesの認証認可について ◼kubernetesクラスタが認証局となって証明書を発行 ① opensslコマンドで秘密鍵とCSRを作成 ② CertificateSigningRequest オブジェクトを作成 ③ ②のCSRオブジェクトをapproveして証明書発行 ④ 発行した証明書をkubeconfigに張り付け(前スライドのもの) apiVersion: certificates.k8s.io/v1 kind: CertificateSigningRequest metadata: name: user-a spec: request: #{CSRをBase64エンコードしたもの} signerName: kubernetes.io/kube-apiserver-client expirationSeconds: 86400 # one day usages: - client auth kubectl certificate approve user-a ③証明書発行コマンド ②CertificateSigningRequestオブジェクトのマニフェスト

Slide 8

Slide 8 text

7 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. kubernetesの認可の仕組み 1.kubernetesの認証認可について ◼kubernetesの認可はRole-Based Access Control(RBAC) で実現される ◼認証されたUser/GroupとRoleを紐付け(Rolebinding)する事で認可制御を行う Namespace A 管理用Role Namespace A 参照用Role Namespace B 管理用Role Namespace A Namespace B 参照のみ全アクション許可全アクション許可 Namespace A 管理用RoleBding Namespace A 参照用RoleBding Namespace B 管理用RoleBding user-a user-b Namespace A,Bの管理者になりたい Namespace A内のリソースを参照したい kubeconfigで指定したUser

Slide 9

Slide 9 text

Slide 10

Slide 10 text

9 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. EKS(Elastic Kubernetes Service)とは？ 2.EKSの認証認可について ◼ AWSのマネージドKubernetesサービス ◼ コントロールプレーンの管理が不要、 IAMユーザ/ロールによる認証(k8sでの証明書管理が不要)、などがメリットコントロールプレーンの管理が不要コンテナコンテナコンテナ IAMユーザ/ロールによる認証コントロールプレーン: ワーカーノードやコンテナの稼働を管理ワーカーノード: コンテナの稼働環境

Slide 11

Slide 11 text

10 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. aws-auth Configmapを用いたIAM連携 2.EKSの認証認可について ◼IAMユーザ/ロールとk8s User/Groupの紐付けをaws-authというConfigmapで設定する controlplane ~ ? kubectl describe cm aws-auth -n kube-system Name: aws-auth Namespace: kube-system ～～(中略)～～ Data ==== mapRoles: ---- ～～(中略)～～ - rolearn: #{IAMユーザ/ロールのARN} username: #{User名} groups: - #{Group名} controlplane ~ ? cat .kube/config apiVersion: v1 clusters: - cluster: ～～(中略)～～ users: - name: user-a user: exec: apiVersion: client.authentication.k8s.io/v1beta1 args: - eks - get-token - --cluster-name - my-eks - --region - ap-northeast-1 command: aws ～～(中略)～～ IAMユーザ/ロールの権限で aws cliを実行しトークン取得 IAMとk8s User/Group の紐付けを設定する

Slide 12

Slide 12 text

11 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. aws-auth Configmapを用いたIAM連携 2.EKSの認証認可について ◼絵にすると以下のイメージ ◼k8sのRBAC設定(Rolebinding,Role)は個別に用意する必要あり ◼aws-auth Configmapのメンテも必要でちょっと複雑 aws-auth Configmap user-a用 IAMユーザ/ロール user-b用 IAMユーザ/ロール

Slide 13

Slide 13 text

Slide 14

Slide 14 text

13 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. EKS APIを用いた認可制御について 3.EKS APIを用いた認可制御について ◼aws-auth Configmapの代替として最近出た連携方式 ◼aws-auth Configmapはもちろん、k8s のRBACを作成せずに認可制御ができる様になった! ◼新しい2つの概念 EKS access entry: AWS IAMユーザ/ロールに直接紐付くID EKS access policy: EKSプリセットの認可ポリシー

Slide 15

Slide 15 text

14 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. EKS APIを用いた認可制御について 3.EKS APIを用いた認可制御について ◼以下のEKS access policyが用意されている ◼k8sプリセットのClusterRoleにそれぞれ対応している AmazonEKSClusterAdminPolicy - cluster-admin AmazonEKSAdminPolicy - admin AmazonEKSEditPolicy - edit AmazonEKSViewPolicy - view 権限レベル強弱

Slide 16

Slide 16 text

15 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. aws-auth Configmapとの比較 3.EKS APIを用いた認可制御について ◼aws-auth Configmap ◼EKS API aws-auth Configmap user-a用 IAMユーザ/ロール user-b用 IAMユーザ/ロール Namespace A Namespace B access policy EKSAdminPolicy access policy EKSViewPolicy 全アクション許可参照のみ access entry user-a用 IAMユーザ/ロール RBACやaws-authを作成しなくてよい！シンプル！ access entry user-b用 IAMユーザ/ロール

Slide 17

Slide 17 text

Slide 18

Slide 18 text

17 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. EKS APIの実機検証① 3.EKS APIを用いた認可制御について ② 作成したaccess entryをaccess policyに関連付ける対象EKSクラスタ名を指定対象IAMユーザ/ロールを指定関連付けするaccess policyを指定権限の範囲を指定今回は”apl-a” Namespaceへのアクセスを指定している access entryに関連付けられた access policyが表示される

Slide 19

Slide 19 text

Slide 20

Slide 20 text

19 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. access entryとkubernete RBACとの連携 3.EKS APIを用いた認可制御について ◼access policyは便利な反面、k8sのリソース種別単位の権限付与等細かい制御はできない ⚫ 例: Namespace内のPodのみアクセスさせたいが他リソース(Configmap,Secret等)にはアクセスさせたくない ◼access entryに設定したGroupをk8s RBACに関連付ける事で実現可能 Namespace A access entry user-a用 IAMユーザ/ロール pod configmap secret pvc Namespace A Pod管理用Role Namespace A Pod管理用 RoleBding Group ・・・

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

23 Copyright （C） Nomura Research Institute, Ltd. All rights reserved. まとめ ◼EKS APIを用いる事でIAMを用いたEKSクラスタ接続設定が簡単になった！ ◼大体の用途であれば、 access policyで事足りるはず ◼access entryはk8s RBACと連携可能なので、きめ細かい権限制御もやろうと思えばできる ◼kubernetesマニフェストの様にaccess entryやaccess policyとの関連付けの内容を宣言的に管理できるとなお良いかも

Slide 25

Slide 25 text

No content