[K8S - CKA] Authorization

쿠버네티스에서 권한 부여는 어떻게 이루어 질 수 있는지 알아봅시다.

ABAC - 특성 베이스

각 특성에 맞는 권한을 일일이 부여해야 하고 이는 Kube API 서버를 다시 시작하게 끔한다. 그런데 이는 매우 비효율적인 방법이다. 개발자 한 명이 추가 될 때마다 그에 맞는 특성을 개발자 1에게 모두 직접 부여하고 API SERVER를 껐다 키는게 정상은 아니니 말이다.

 

RBAC - Rule 베이스

개발자는 개발자 권한을 부여한다. 보안 담당자는 보안 담당 권한을 부여한다. 즉, 자신의 권한에 맞는 권한 부여 셋팅을 미리 내려주고 이는 API SERVER가 읽어서 바로 적용 될 수 있게 한다. 일반적인 방법이다.

 

Authorization Mode

 

인증에는 모드가 존재한다. 아래는 모드의 종류임 NODE는 노드의 접근 일 때만 허용, ABAC,RBAC등은 위에서 설명한 것과 동일하다.

NODE ABAC RBAC WEBHOOK AlwaysAllow AlwaysDeny

 

그리고, KUBE API SERVER EXECUTE 부분에 아래와 같이 설정을 하고 쓰면 NODE 유저가 아니면 RBAC 개체의 허용 여부를 묻고 아니라면 Webhook 까지 내려가서 승인을 받을 수 있는지 탐색합니다.

--authorization-mode=Node,RBAC,Webhook