Amin 권한이면 상관없다.
그러나, 실무에서 개발자들은 IAM 계정으로 사용하게 된다.
EKS 사용을 위해 , 우선 명령을 날릴 Cloud9을 만들어 사용해보자.
Cloud9 에 권한을 주는 법은 access-key에 권한을 줘서 사용하는 방법과
만들어진 Cloud9 ec2에 role 을 변경해 사용하는 방법 2가지가 있다.
여기서는 만들어진 Cloud9 ec2에 role 을 변경해 사용하는 방법을 사용 한다.
<1> Cloud9에서 사용할 role을 생성하고, readonly 권한을 준다.
<2> IAM 계정에 권한 3가지 주기
<3> 클릭클릭으로 Cloud9 생성한다.
<1> Cloud9에서 사용할 role을 생성하고, readonly 권한을 준다.
기본 롤은 권한이 부족하다.
새 role을 만들어 cloud9 생성된 ec2에 attache해서 변경한다.
iam > role > ec2 > readonly 권한만 우선 준다.
seo-cloud9-role
// cloud9 role은 추가로 필요한 권한만 준다.
예를 들어 ECR에 컨테이너 이미지를 올려야 한다면, ECR 권한.
쿠버네티스에 배포해야 하면 해당 배포권한을 추가 한다.
<2> IAM 계정에 권한 3가지 주기
3가지
Readonly
AWSCloud9Administrator
EKS 권한 - 서비스의 경우 삭제 권한은 제외 seo-eks-policy
기타
아래 EC2에 role 추가하는 권한은 주지 말아야 하는군요.
admin role로도 변경할수 있겠네요~
seo-cloud9-AssociateIamInstanceProfile-policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:AssociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*"
}
]
}
<3> 클릭클릭으로 Cloud9 생성한다.
1
맞는 vpc subnet에 생성한다.
2
만들어진 ec2에 role을 변경한다.
seo-cloud9-role
3
필요한 권한은 관리자에게 요청한다.
seo-cloud9-role 에 필요한 권한이 부여 된다.
https://brunch.co.kr/@topasvga/1544
감사합니다.