「アクセス制御」ってややこしいですよね。 AWSでもIAMが苦手!って方多そうですが、Kubernetesの世界でもアクセス制御を知っておかないとセキュリティ事故に繋がります。 今回はそれらの合わせ技となる、AWS上でKubernetesを使う際の両プラットフォーム間でのアクセス制御の組み合わせについてのお話です。 AWS上でKubernetesを使う際のセキュリティ課題 EKSを使ってKubernetesワークロードをAWS環境上でホストしてるよ!という方は多いんじゃないかと思います。 特にAWSでKubernetesを使っていると「PodからAWSリソースにアクセスさせたい」という要件が出てきます。 以下のようなプロダクトを例として想像してみましょう。 この例では同じEKSクラスター上でKubernetes Podを2種類がバックエンドアプリケーションとして稼働しています。 Pod①へ
![KubernetesクラスターからAWSリソースへのアクセスを制御してくれる「IRSA」とは? - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/65dc529135465936952bf91313e05655d6c75d02/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9S3ViZXJuZXRlcyVFMyU4MiVBRiVFMyU4MyVBOSVFMyU4MiVCOSVFMyU4MiVCRiVFMyU4MyVCQyVFMyU4MSU4QiVFMyU4MiU4OUFXUyVFMyU4MyVBQSVFMyU4MiVCRCVFMyU4MyVCQyVFMyU4MiVCOSVFMyU4MSVCOCVFMyU4MSVBRSVFMyU4MiVBMiVFMyU4MiVBRiVFMyU4MiVCQiVFMyU4MiVCOSVFMyU4MiU5MiVFNSU4OCVCNiVFNSVCRSVBMSVFMyU4MSU5NyVFMyU4MSVBNiVFMyU4MSU4RiVFMyU4MiU4QyVFMyU4MiU4QiVFMyU4MCU4Q0lSU0ElRTMlODAlOEQlRTMlODElQTglRTMlODElQUYlRUYlQkMlOUYmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTU4YzkxNTdiMmJjZDM5NDY0ZWEzYTQxMjc0NmY0OTgy%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwbWlub3J1bjM2NSUyMGluJTIwS0RESSVFMyU4MiVBMiVFMyU4MiVCOCVFMyU4MyVBMyVFMyU4MiVBNCVFMyU4MyVBQiVFOSU5NiU4QiVFNyU5OSVCQSVFMyU4MiVCQiVFMyU4MyVCMyVFMyU4MiVCRiVFMyU4MyVCQyVFNiVBMCVBQSVFNSVCQyU4RiVFNCVCQyU5QSVFNyVBNCVCRSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTMyJnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9NzhhYjI4OTkzMzdjMDI1MjUxYzlmZTczOWM4NWY3MDU%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dd5c4d53d0777e007bace9c4e805e7a8c)