Amazon EKS API 서버에 연결할 때 무단 서버 오류 문제를 해결하려면 어떻게 해야 하나요?

최종 업데이트 날짜: 2022년 9월 20일

kubectl 명령을 사용하여 Amazon Elastic Kubernetes Service(Amazon EKS) API 서버에 연결하는데, 'error: You must be logged in to the server (Unauthorized)' 메시지를 수신했습니다. 이 문제를 해결하려면 어떻게 해야 하나요?

간략한 설명

클러스터 관리자는 다음 섹션 중 하나의 단계를 완료해야 합니다.

  • 클러스터 생성자인 경우
  • 클러스터 생성자가 아닌 경우

그런 다음, 오류 메시지를 받은 사람이 오류를 수신한 사용자 또는 역할(You're the user or role that received the error) 섹션의 단계를 완료해야 합니다.

해결 방법

클러스터 생성자인 경우

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생할 경우 AWS CLI의 최신 버전을 사용하고 있는지 확인하세요.

1.    AWS CLI 사용자 또는 역할의 구성을 보려면 다음 명령을 실행합니다.

$ aws sts get-caller-identity

출력은 AWS Identity and Access Management(IAM) 사용자 또는 역할의 Amazon 리소스 이름(ARN)을 반환합니다. 예를 들면 다음과 같습니다.

{
    "UserId": "XXXXXXXXXXXXXXXXXXXXX",
    "Account": "XXXXXXXXXXXX",
    "Arn": "arn:aws:iam::XXXXXXXXXXXX:user/testuser"
}

2.    ARN이 클러스터 생성자와 일치하는지 확인합니다. 클러스터 생성자를 찾으려면 Amazon CloudWatch Application Insights에서 다음과 같은 명령을 실행하면 됩니다. 참고: Amazon EKS는 컨트롤 플레인 측의 클러스터 생성자 IAM 역할을 kubernetes-admin으로 매핑합니다. 클러스터가 생성되었을 때 API 서버 로깅이 활성화되어 있었던 경우라면, 엔터티 생성자를 쿼리할 수 있습니다.

fields @logstream, @timestamp, @message
| sort @timestamp desc
| filter @logStream like /authenticator/
| filter @message like "username=kubernetes-admin"
| limit 50

이 쿼리는 클러스터 생성자로 매핑된 IAM 엔터티를 반환합니다. 출력에서 수신하는 IAM 엔터티 역할을 수임하고, 그 다음에 클러스터에 kubectl을 다시 호출합니다.

3.    다음 명령 중 하나를 사용하여 kubeconfig 파일을 업데이트하거나 생성합니다.

IAM 사용자로서 다음 명령을 실행합니다.

$ aws eks update-kubeconfig --name eks-cluster-name --region aws-region

참고: eks-cluster-name을 사용자의 클러스터 이름으로 교체합니다. aws-region을 사용자의 AWS 리전으로 교체합니다.

IAM 역할로 다음 명령을 실행합니다.

$ aws eks update-kubeconfig --name eks-cluster-name --region aws-region --role-arn arn:aws:iam::XXXXXXXXXXXX:role/testrole

참고: eks-cluster-name을 사용자의 클러스터 이름으로 교체합니다. aws-region을 사용자의 AWS 리전으로 교체합니다.

4.    kubeconfig 파일이 업데이트되었는지 확인하려면 다음 명령을 실행합니다.

$ kubectl config view --minify

5.    IAM 사용자 또는 역할이 인증되었는지 확인하려면 다음 명령을 실행합니다.

$ kubectl get svc

예시 출력

NAME            TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
kubernetes      ClusterIP   10.100.0.1     <none>        443/TCP   77d

클러스터 생성자가 아닌 경우

1.    AWS CLI 사용자 또는 역할의 구성을 가져오려면 다음 명령을 실행합니다.

$ aws sts get-caller-identity

출력은 IAM 사용자 또는 역할의 ARN을 반환합니다.

2.    클러스터 소유자 또는 관리자에게 IAM 사용자 또는 역할을 aws-auth ConfigMap에 추가하도록 요청합니다.

참고: 올바른 IAM 권한이 있으면 AssumeRole을 사용하여 클러스터 생성자로 로그인할 수 있습니다.

3.    텍스트 편집기에서 aws-auth ConfigMap을 편집하려면 클러스터 소유자 또는 관리자가 다음 명령을 실행해야 합니다.

$ kubectl edit configmap aws-auth --namespace kube-system

참고: 'Error from server (NotFound): configmaps 'aws-auth' not found' 오류가 발생하면 aws-authConfigMap을 클러스터에 적용하는 지침을 따르세요.

4.    IAM 사용자 또는 IAM 역할을 추가하려면 다음 단계 중 하나를 완료하십시오.

IAM 사용자를 mapUsers에 추가합니다. 예를 들면 다음과 같습니다.

mapUsers: |
  - userarn: arn:aws:iam::XXXXXXXXXXXX:user/testuser
    username: testuser
    groups:
      - system:masters

참고: testuser를 사용자 이름으로 바꿉니다.

IAM 역할을 mapRoles에 추가합니다. 예를 들면 다음과 같습니다.

mapRoles: |
  - rolearn: arn:aws:iam::XXXXXXXXXXXX:role/testrole
    username: testrole
    groups:
      - system:masters

참고: testrole을 역할로 바꿉니다.

mapRoles 섹션의 username 값은 소문자만 사용할 수 있습니다. IAM 역할은 경로 없이 매핑되어야 합니다. rolearn 경로 요구 사항에 대해 자세히 알아보려면 IAM 문제 해결에서 aws-auth ConfigMap에서 클러스터에 대한 액세스 권한을 부여하지 않음 섹션을 펼치세요.

AWS IAM Identity Center(AWS Single Sign-On 후속) IAM 역할에 rolearn을 지정하려면 역할 ARN에서 '/aws-reserved/sso.amazonaws.com/REGION' 경로를 제거합니다. 그렇지 않으면 ConfigMap의 항목이 사용자를 유효한 사용자로 인증할 수 없습니다.

system:masters 그룹은 슈퍼 사용자 액세스를 통해 모든 리소스에 대한 모든 작업을 수행할 수 있습니다. 자세한 내용은 기본 역할 및 역할 바인딩을 참조하세요. 이 사용자에 대한 액세스를 제한하려면 Amazon EKS 역할 및 역할 바인딩 리소스를 생성할 수 있습니다. Amazon EKS 콘솔에서 리소스를 보는 사용자의 액세스 권한을 제한하는 예시의 경우, 필수 권한의 2단계 및 3단계를 수행하세요.

오류를 수신한 사용자 또는 역할인 경우

1.    aws-auth ConfigMap이 업데이트된 후 kubeconfig 파일을 업데이트하거나 생성하려면 다음 명령 중 하나를 실행합니다.

IAM 사용자로서 다음 명령을 실행합니다.

$ aws eks update-kubeconfig --name eks-cluster-name --region aws-region

참고: eks-cluster-name을 사용자의 클러스터 이름으로 교체합니다. aws-region을 사용자의 AWS 리전으로 교체합니다.

2.    IAM 역할로 다음 명령을 실행합니다.

$ aws eks update-kubeconfig --name eks-cluster-name --region aws-region --role-arn arn:aws:iam::XXXXXXXXXXXX:role/testrole

참고: eks-cluster-name을 사용자의 클러스터 이름으로 교체합니다. aws-region을 사용자의 AWS 리전으로 교체합니다.

3.    kubeconfig 파일이 업데이트되었는지 확인하려면 다음 명령을 실행합니다.

$ kubectl config view --minify

4.    IAM 사용자 또는 역할이 인증되었는지 확인하려면 다음 명령을 실행합니다.

$ kubectl get svc

예시 출력

NAME            TYPE        CLUSTER-IP     EXTERNAL-IP   PORT(S)   AGE
kubernetes      ClusterIP   10.100.0.1     <none>        443/TCP   77d

참고: 오류를 계속 수신하는 경우, 문제 해결 가이드라인 RBAC 권한 부여를 참조하세요.


이 문서가 도움이 되었나요?


결제 또는 기술 지원이 필요하세요?