EKS Pod Identity と IAM Roles Anywhere によるオンプレ Kubernetes のための新しい認証戦略 Tweet

Proposal: (エントリー済み)

Kubernetes クラスタ上で動くワークロードが RDS や S3 といった AWS リソースへ安全にアクセスできるようにすることは、多くのシステムにとって一般的な要件です。
最も手軽な方法は IAM ユーザの長期認証情報を利用することですが、これはセキュリティ上のリスクが高く、AWS でも推奨されていません。代わりに IAM ロールを用いた一時的な認証情報の利用がベストプラクティスとされています。

EKS 環境では IRSA や EKS Pod Identity などの仕組みにより、この要件は容易に満たせます。しかし、オンプレミス Kubernetes クラスタには同様の仕組みが存在せず、安全な認証を実現するには工夫が求められます。

本セッションでは、オンプレ Kubernetes クラスタ上で EKS Pod Identity と IAM Roles Anywhere を組み合わせて AWS リソースへのセキュアなアクセスを実現した事例を紹介します。さらに、この取り組みを通じて得られた設計上・運用上の学びも共有し、オンプレ環境におけるクラウド連携の実践的なアプローチをお伝えします。

本セッションで扱うトピック
・EKS Pod Identity と IAM Roles Anywhere の仕組み
・Kubebuilder を用いたカスタムコントローラ実装
・IAM ユーザから IAM ロールへの移行ステップ