AWS EKS 관리형 정책 한눈에 보기

AWS 관리형 정책이란?

AWS 관리형 정책은 AWS가 직접 만드는 정책으로, 다양한 상황에서 손쉽게 권한을 IAM 사용자, 그룹, 역할에 할당할 수 있도록 설계되었습니다. 사용자는 이 정책의 세부 권한을 바꾸지 못하며, AWS가 필요에 따라 업데이트합니다.

Amazon EKS 핵심 정책 종류

Amazon EKS 및 관련 리소스 관리에 필요한 주요 정책은 다음과 같이 여러 가지가 있습니다. 각 정책은 EKS 클러스터, 노드, 네트워킹, 스토리지, 로드 밸런싱 등 특정 역할에 맞게 권한을 부여합니다.

AmazonEKS_CNI_Policy
AmazonEKSClusterPolicy
AmazonEKSDashboardConsoleReadOnly
AmazonEKSFargatePodExecutionRolePolicy
AmazonEKSComputePolicy
AmazonEKSNetworkingPolicy
AmazonEKSBlockStoragePolicy
AmazonEKSLoadBalancingPolicy
AmazonEKSWorkerNodePolicy
AmazonEKSWorkerNodeMinimalPolicy 등

대표 정책별 설명과 추천 사용 방법

AmazonEKS_CNI_Policy EKS에서 Pod 네트워크 구성을 위해 EC2 네트워크 인터페이스 및 IP 주소를 관리하게 하는 권한입니다. 주로 VPC CNI 플러그인 전용 역할에 연결합니다.
AmazonEKSClusterPolicy 클러스터를 생성하고 운영하기 위한 IAM 역할에 필수로 연결해야 하며, EC2, EBS, ELB, IAM, KMS 등 AWS 서비스 자원 관리 권한이 포함되어 있습니다.
AmazonEKSDashboardConsoleReadOnly EKS 대시보드 및 리소스에 읽기 권한만 제공하며, 조직 정보 확인 기능도 포함되어 있습니다.
AmazonEKSFargatePodExecutionRolePolicy Fargate에서 구동되는 EKS Pod가 컨테이너 이미지를 불러올 수 있도록 Amazon ECR 권한을 부여하는 역할입니다.
AmazonEKSComputePolicy 등 기타 EC2 인스턴스, 네트워킹, 블록스토리지, 로드밸런서 관리를 위한 세부 역할마다 알맞은 전용 정책을 제공하며, 관련 리소스 태그 조건도 활용합니다.

서비스 연결 역할과 자동 권한

일부 정책은 사용자가 직접 할당하지 않고 AWS가 자동으로 연결하는 서비스-연동 역할용입니다. 예시로 AmazonEKSServiceRolePolicy, AWSServiceRoleForAmazonEKSNodegroup 등은 클러스터 생성 시 자동 부여되어 EKS가 백그라운드에서 AWS 리소스를 운영하도록 돕습니다.

Amazon EKS 정책 사용시 주의점

관리형 정책은 다양한 기능을 지원하지만, 항상 최소 권한(least privilege) 원칙에 맞추어 직접 만든 커스텀 정책으로 필요 권한만 부여하는 것이 보안상 더 안전할 수 있습니다. 또한 AWS가 정책을 업데이트하면 모든 연결된 역할에 즉시 적용되니, 영향도를 미리 확인하는 것이 좋습니다.

출처 및 참고 : AWS managed policies for Amazon Elastic Kubernetes Service - Amazon EKS