7/19-20

쿠버네티스 API 접근 제어하기

인증 → 인가 → 승인제어

☑️ 구별하기

• Identification(식별)

  ID, Account, User

• Authentication(인증)

  클라이언트 식별 및 인증

• Authorization(인가)

  식별되는 주체에 대한 접근 권한 부여

• Credential(자격 증명)

• Authentication + Authorization

  ⇒ Auth

• Admission Control(승인 제어)

  유효성 검사, 접근 제어, 오브젝트의 생성, 삭제, 수정에 대한 제한(읽기 X)

Authentication

분류(type)

1. 지식 기반 : 패스워드, 아이핀, PIN, OTP → 가장 약한 인증 방식
2. 소유 기반 : 스마트 카드, 토큰, OTP
3. 존재 기반 : 생체인증(지문, 홍채)
4. 행동 기반 : 음성, 서명, KeyStroke

• 2FA/MFA(Two Factor Authentication, Multi Factor Authentication)

  두가지 인증을 같이 사용하는것을 권장

사용자

• Service Account(SA)

  쿠버네티스 API로 관리되는 쿠버네티스에 존재하는 사용자

  시크릿에 자격 증명 토큰이 저장되어 있으며, API 요청시 해당 자격 등명으로 인증을 수행하게 된다.

  일반적으로 파드가 사용하기 위한 사용자

• Normal User Account

  쿠버네티스 자체적으로 관리 하지 않는, 쿠버네티스 클러스터 외부의 외부 계정 관리 시스템과 연동되어 인증에 사용되는 사용자

인증 방법

1. X.509 클라이언트 인증서 (→ 지금 쓰이고 있는거)