핵심 요약
데브시스터즈가 EKS Pod Identity Webhook으로 포드에 IAM 역할을 세밀하게 부여하고, AWS SDK의 Web Identity 토큰으로 해당 역할만 사용하도록 구현했습니다.
구현 방법
- Mutating webhook으로 포드 스펙에 AWS_ROLE_ARN, AWS_WEB_IDENTITY_TOKEN_FILE를 추가
- 서비스 어카운트 주석에 IAM 역할 ARN 명시
- EKS IdP 등록 및 Trust 관계 설정으로 역할 전환 허용
주요 결과
- 포드가 IAM 역할으로 AssumeRoleWithWebIdentity를 수행
- 최소 권한 원칙에 따른 보안 강화
- IdP 기반 인증으로 운영 편의성 확보
