AuditableなEKSコントロールプレーンログを目指して | GREE Engineering皆さん初めまして、セキュリティ部の池添です。 仕事何やってるの?と聞かれるとつい面倒くさくなり、なんかセキュリティ色々と答えてしまうようなポジションやってます。 本記事では、Amazon EKS(以下EKS)の監査ログ周りがちょっとイケてないなーと思い、色々調べた結果を共有させて頂こうと思います。 はじめに 何がイケていないと思ったのかと言いますと、EKSのドキュメントを参考に設定を行うと、IAM Role利用時においてはEKSコントロールプレーンの監査ログのユーザ識別性が弱すぎる、と。 どういうことかと言いますと、弊社のAWSアカウントはIdP連携によるSSO化がされており、ログインをするとIdPから渡された情報を元にIAM Roleへのマッピングが行われます。ログイン後はAssumeRoleされた状態になるため、IAM RoleとEKSコントロールプレーン間でロールマッピングを行い利用
