Container Service for Kubernetes:RRSAを使用して異なるポッドに異なるクラウドサービスへのアクセスを許可する

目次

• 背景情報

• 制限事項

• RRSAの有効化

• RRSAでの作業

• RRSAのOIDCトークン認証をサポートするAlibaba Cloud SDKのデモ

• 関連ドキュメント

背景情報

Elasticコンテナインスタンスは、Elastic Compute Service (ECS) インスタンスで実行されます。 ECSインスタンスのメタデータには、Alibaba Cloud上のECSインスタンスに関する情報が含まれます。 実行中のECSインスタンスにログインしてそのメタデータを表示し、そのメタデータに基づいてECSインスタンスを設定または管理できます。 ACKクラスターにデプロイされたアプリケーションは、ECSインスタンスメタデータを使用して、異なるRAM (Resource Access Management) ロールを引き受けるために使用されるSTS (Security Token Service) トークンを取得できます。 このようにして、アプリケーションは異なるクラウドサービスのAPIを呼び出すことができます。 詳細については、「インスタンスメタデータの取得」をご参照ください。

クラスター内のさまざまなアプリケーションのRAM権限を制御する場合、これらのアプリケーションがECSインスタンスまたはエラスティックコンテナインスタンスのメタデータを使用して、インスタンスに割り当てられたRAMロールを引き受けるために使用されるSTSトークンを取得することを禁止できます。 ECSインスタンスまたはエラスティックコンテナインスタンスに割り当てられているRAMロールにRAMポリシーをアタッチしないこともできます。 ただし、これらのアプリケーションは、安全な方法でクラウドリソースにアクセスするためのSTSトークンを取得する必要があります。 これらの問題に対処するために、ACKはRAMに基づいて開発されたRRSA機能をリリースします。

RRSA機能を使用すると、ACKクラスター内のさまざまなアプリケーションがさまざまなRAMロールを引き受けることができます。 アプリケーションはSTSトークンを取得し、トークンを使用して特定のRAMロールを引き受け、関連するクラウドサービスにアクセスできます。 これにより、最小権限の原則が適用され、アプリケーションはAccessKeyペアを使用する必要なくAPI操作を呼び出すことができ、AccessKeyペアのリークを防止できます。

制限事項

RRSA機能は、Kubernetes 1.22を実行するACKクラスターのみをサポートします。 RRSA機能をサポートするACKクラスターには、ACK Basicクラスター、ACK Proクラスター、ACK Serverless Basicクラスター、ACK Serverless Proクラスター、ACK Edge Proクラスターがあります。

RRSAの有効化

1. ACKコンソールにログインします。 左側のナビゲーションウィンドウで、[クラスター] をクリックします。

2. [クラスター] ページで、管理するクラスターの名前をクリックします。 左側のウィンドウで、[クラスター情報] をクリックします。

3. [基本情報] タブの [セキュリティと監査] セクションで、[RRSA OIDC] の横にある [有効化] をクリックします。

   

4. では、RRSAの有効化ダイアログボックスで、確認.

   [基本情報] セクションで、クラスターのステータスが [更新中] から [実行中] に変わった場合、クラスターのRRSA機能が有効になり、OIDCプロバイダーのURLとAlibaba Cloud Resource Name (ARN) がRRSA OIDCの横に表示されます。

RRSAを有効にすると、ACKはバックグラウンドで次の操作を実行します。

• クラスター専用のOIDC発行者を自動的に作成します。 OIDC発行者は、ACKによって管理される。 詳細については、「OIDC発行者」をご参照ください。

• クラスターのサービスアカウントトークンボリューム予測を有効にし、OIDC発行者の設定をクラスターの既存のservice-account-issuerパラメーターの値とマージします。 詳細については、「ServiceAccountトークンボリューム予測の使用」をご参照ください。

• アカウント内にRAMロールIDプロバイダーを作成します。 IDプロバイダーは、シングルサインオン (SSO) にOIDC発行者を使用します。 IDプロバイダーの名前はack-rrsa-<cluster_id> です。 <cluster_id> は、クラスターのIDを示します。 詳細については、「OIDC IdPの管理」をご参照ください。

RRSAを使用する

クラスターでRRSAを有効にした後、次の手順を実行して、クラスター内のアプリケーションがRRSAを通じてSTSトークンを取得できるようにします。 STSトークンは、特定のクラウドサービスのAPIを呼び出すために使用されます。

例：

この例では、アプリケーションが作成され、クラスターに対してRRSAが有効化されているため、アプリケーションは次の操作を実行できます。指定されたRAMロールを想定し、API操作を呼び出して現在のAlibaba Cloudアカウントに属するクラスターを照会します。

サンプル設定

• 名前空間: rrsa-demo

• サービスアカウント: demo-sa

• RAMロール: demo-role-for-rrsa

手順

• ack-pod-identity-webhookコンポーネントをインストールせずにRRSAを有効にする場合は、アプリケーションテンプレートで必要なOIDCトークンファイルを環境変数として手動で指定できます。 詳細については、「アプリケーションテンプレートを手動で変更してRRSAを有効にする」をご参照ください。

• 既存のRAMロールを使用する場合は、RAMロールに必要な権限を付与する必要があります。 詳細については、「既存のRAMロールを使用し、RAMロールに必要な権限を付与する」をご参照ください。

1. ack-pod-identity-webhookコンポーネントをインストールします。

   1. [クラスター] ページで、クラスターの名前をクリックします。 左側のナビゲーションウィンドウで、[操作]> [アドオン] を選択します。

   2. On theアドオンページをクリックし、セキュリティタブで、ack-pod-identity-webhookを見つけ、インストールカードの右下にあります。

   3. 表示されるメッセージで、情報を確認し、OK.

2. demo-role-for-rrsaという名前のRAMロールを作成します。

   1. にログインします。RAMコンソールをAlibaba Cloudアカウントに置き換えます。

   2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。 [ロール] ページで、[ロールの作成] をクリックします。

   3. では、ロールの作成パネル、選択IdP[信頼できるエンティティ] を選択し、次へ.

   4. On theロールの設定ウィザードページで、次のパラメーターを設定し、OK.

      下表に、各パラメーターを説明します。

      パラメーター	説明
      RAMロール名	値をdemo-role-for-rrsaに設定します。
      注	RAMロールの説明を入力します。 このパラメーターはオプションです。
      IdPタイプ	[OIDC] を選択します。
      IdPの選択	IdPを選択します。 IdPは、ack-rrsa-<cluster_id> 形式で命名される。 <cluster_id> は、クラスターのIDを示します。
      条件	oidc:iss: デフォルト値を使用します。 oidc:aud: sts.aliyuncs.comを選択します。 oidc:sub: 条件演算子をStringEqualsに設定し、値をsystem:serviceaccount:<namespace >:< serviceAccountName> に設定します。 <namespace>: アプリケーションの名前空間を指定します。 <serviceAccountName>: サービスアカウントの名前を指定します。 この例では、system:serviceaccount:rrsa-demo:demo-saと入力します。

3. ステップ2で作成したRAMロールにAliyunCSReadOnlyAccessポリシーをアタッチして、アプリケーションに必要な権限を付与します。 詳細については、「RAMロールへの権限の付与」をご参照ください。

4. アプリケーションをデプロイします。 SDKデモの詳細については、「RRSAのOIDCトークン認証をサポートするAlibaba Cloud SDKのデモ」をご参照ください。

   1. 次の要件に基づいて、demo.yamlという名前のファイルを作成します。

      次のサンプルYAMLテンプレートでは、pod-identity.alibabacloud.com/injection: 'on' ラベルが名前空間に追加され、pod-identity.alibabacloud.com/role-name: demo-role-for-rrsaアノテーションがサービスアカウントに追加され、ack-pod-identity-webhookの自動注入機能が有効になっています。 ack-pod-identity-webhookを構成する方法の詳細については、「ack-pod-identity-webhook」をご参照ください。

      サンプルコードの表示

      ---
      apiVersion: v1
      kind: Namespace
      metadata:
        name: rrsa-demo
        labels:
          pod-identity.alibabacloud.com/injection: 'on'
      
      ---
      apiVersion: v1
      kind: ServiceAccount
      metadata:
        name: demo-sa
        namespace: rrsa-demo
        annotations:
          pod-identity.alibabacloud.com/role-name: demo-role-for-rrsa
      
      ---
      apiVersion: v1
      kind: Pod
      metadata:
        name: demo
        namespace: rrsa-demo
      spec:
        serviceAccountName: demo-sa
        containers:
          - image: registry.cn-hangzhou.aliyuncs.com/acs/ack-ram-tool:1.0.0
            imagePullPolicy: "Always"
            args:
              - rrsa
              - demo
            name: demo
        restartPolicy: OnFailure

   2. 次のコマンドを実行して、アプリケーションをデプロイします。

      kubectl apply -f demo.yaml

5. 次のコマンドを実行して、ack-pod-identity-webhookがアプリケーション用に作成されたポッドに必要な設定を挿入したかどうかを確認します。

   kubectl -n rrsa-demo get pod demo -o yaml

   期待される出力

   apiVersion: v1
   kind: Pod
   metadata:
     name: demo
     namespace: rrsa-demo
   spec:
     containers:
     - args:
       - rrsa
       - demo
       env:
       - name: ALIBABA_CLOUD_ROLE_ARN
         value: acs:ram::1***:role/demo-role-for-rrsa
       - name: ALIBABA_CLOUD_OIDC_PROVIDER_ARN
         value: acs:ram::1***:oidc-provider/ack-rrsa-c***
       - name: ALIBABA_CLOUD_OIDC_TOKEN_FILE
         value: /var/run/secrets/ack.alibabacloud.com/rrsa-tokens/token
       image: registry.cn-hangzhou.aliyuncs.com/acs/ack-ram-tool:1.0.0
       imagePullPolicy: Always
       name: demo
       volumeMounts:
       - mountPath: /var/run/secrets/kubernetes.io/serviceaccount
         name: kube-api-access-4bwdg
         readOnly: true
       - mountPath: /var/run/secrets/ack.alibabacloud.com/rrsa-tokens
         name: rrsa-oidc-token
         readOnly: true
     restartPolicy: OnFailure
     serviceAccount: demo-sa
     serviceAccountName: demo-sa
     volumes:
     - name: kube-api-access-4bwdg
       projected:
         defaultMode: 420
         sources:
         - serviceAccountToken:
             expirationSeconds: 3607
             path: token
         - configMap:
             items:
             - key: ca.crt
               path: ca.crt
             name: kube-root-ca.crt
         - downwardAPI:
             items:
             - fieldRef:
                 apiVersion: v1
                 fieldPath: metadata.namespace
               path: namespace
     - name: rrsa-oidc-token
       projected:
         defaultMode: 420
         sources:
         - serviceAccountToken:
             audience: sts.aliyuncs.com
             expirationSeconds: 3600
             path: token

   出力は、ack-pod-identity-webhookが次の設定をポッドに注入したことを示しています。

   カテゴリ	設定アイテム	説明
   環境変数。	ALIBABA_CLOUD_ROLE_ARN	仮定するRAMロールのARN。
   	ALIBABA_CLOUD_OIDC_PROVIDER_ARN	OIDC IdPのARN。
   	ALIBABA_CLOUD_OIDC_TOKEN_FILE	OIDCトークンファイルのパス。
   VolumeMount	rrsa-oidc-token	OIDCトークンをマウントするための設定。
   ボリューム	rrsa-oidc-token	OIDCトークンをマウントするための設定。

6. 次のコマンドを実行して、アプリケーションのログを印刷します。

   kubectl -n rrsa-demo logs demo

   クラスターのリストが出力に表示されます。

   cluster id: cf***, cluster name: foo*
   cluster id: c8***, cluster name: bar*
   cluster id: c4***, cluster name: foob*

7. オプション: RAMロールからAliyunCSReadOnlyAccessシステムポリシーをデタッチします。 詳細については、「RAMロールからの権限の削除」をご参照ください。

   30秒待ってから次のコマンドを実行して、アプリケーションのログを再度印刷します。

   kubectl -n rrsa-demo logs demo

   次のエラーメッセージは、アプリケーションに必要な権限がないことを示しています。

      StatusCode: 403
      Code: StatusForbidden
      Message: code: 403, STSToken policy Forbidden for action cs:DescribeClusters request id: E78A2E2D-***
      Data: {"accessDeniedDetail":{"AuthAction":"cs:DescribeClusters","AuthPrincipalDisplayName":"demo-role-for-rrsa:ack-ram-tool","AuthPrincipalOwnerId":"11***","AuthPrincipalType":"AssumedRoleUser","NoPermissionType":"ImplicitDeny","PolicyType":"ResourceGroupLevelIdentityBasedPolicy"},"code":"StatusForbidden","message":"STSToken policy Forbidden for action cs:DescribeClusters","requestId":"E78A2E2D-***","status":403,"statusCode":403}

アプリケーションテンプレートを手動で変更してRRSAを有効にする

アプリケーションテンプレートで、必要なOIDCトークンファイルを環境変数として手動で指定できます。 これにより、ack-pod-identity-webhookをインストールせずにRRSAを有効にできます。

次のテンプレートに例を示します。

apiVersion: v1
kind: Pod
metadata:
  name: demo
  namespace: rrsa-demo
spec:
  containers:
  - args:
    - rrsa
    - demo
    env:
    - name: ALIBABA_CLOUD_ROLE_ARN
      value: <role_arn>
    - name: ALIBABA_CLOUD_OIDC_PROVIDER_ARN
      value: <oid_provider_arn>
    - name: ALIBABA_CLOUD_OIDC_TOKEN_FILE
      value: /var/run/secrets/ack.alibabacloud.com/rrsa-tokens/token
    image: registry.cn-hangzhou.aliyuncs.com/acs/ack-ram-tool:1.0.0
    imagePullPolicy: Always
    name: demo
    volumeMounts:
    - mountPath: /var/run/secrets/ack.alibabacloud.com/rrsa-tokens
      name: rrsa-oidc-token
      readOnly: true
  restartPolicy: OnFailure
  serviceAccount: demo-sa
  serviceAccountName: demo-sa
  volumes:
  - name: rrsa-oidc-token
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: sts.aliyuncs.com
          expirationSeconds: 3600
          path: token

変更されたテンプレートに基づいてアプリケーションを再デプロイした後、アプリケーションは、テンプレートで指定したOIDCトークンファイル、RAMロールARN、およびOIDCプロバイダーARNを使用して、STSのAssumeRoleWithOIDC操作を呼び出し、特定のRAMロールを引き受けるために使用されたSTSトークンを取得できます。 このようにして、アプリケーションはさまざまなクラウドサービスのAPI操作を呼び出すことができます。 OIDCトークンファイルは環境変数ALIBABA_CLOUD_OIDC_TOKEN_FILEに指定され、RAMロールARNは環境変数ALIBABA_CLOUD_ROLE_ARNに指定され、OIDCプロバイダARNは環境変数ALIBABA_CLOUD_OIDC_PROVIDER_ARNに指定されます。 アプリケーションがファイルを使用するとき、アプリケーションはOIDCトークンファイルから最新のOIDCトークンを読み取ります。 SDKデモの詳細については、「RRSAのOIDCトークン認証をサポートするAlibaba Cloud SDKのデモ」をご参照ください。 詳細については、「AssumeRoleWithOIDC」をご参照ください。

既存のRAMロールを使用し、RAMロールに必要な権限を付与する

アプリケーションで既存のRAMロールを使用する場合は、次のテンプレートに基づいてRAMロールの信頼ポリシーを変更する必要があります。 これにより、アプリケーションはサービスアカウントを使用してRAMロールを引き受け、STSトークンを取得できます。 詳細については、「RAMロールの信頼ポリシーの編集」をご参照ください。

Statement設定の例:

{
  "Action": "sts:AssumeRole",
  "Condition": {
    "StringEquals": {
      "oidc:aud": "sts.aliyuncs.com",
      "oidc:iss": "<oidc_issuer_url>",
      "oidc:sub": "system:serviceaccount:<namespace>:<service_account>"
    }
  },
  "Effect": "Allow",
  "Principal": {
    "Federated": [
      "<oidc_provider_arn>"
    ]
  }
}

ack-ram-toolツールを使用して、信頼ポリシーの変更を自動化することもできます。 サンプルコマンド：

ack-ram-tool rrsa associate-role --cluster-id <cluster_id> \
    --namespace <namespace> --service-account <service_account> \
    --role-name <role_name> --create-role-if-not-exist

RRSAのOIDCトークン認証をサポートするAlibaba Cloud SDKのデモ

SDKデモ

Alibaba Cloud SDK V2.0は、RRSAのOIDCトークン認証をサポートしています。 デフォルトでは、STSトークン認証をサポートし、Alibaba cloud SDK V2.0に基づいて開発されたすべてのクラウドサービスSDKは、RRSA OIDCトークン認証をサポートしています。 次の表に、サポートされているSDKのバージョンとデモを示します。

一部のクラウドサービスSDKでは、上記の方法を参照して、API操作を呼び出すときにRRSAのOIDCトークンを認証に使用できます。 次の表に、SDKデモについて説明します。

SDKエラーの解決策

次の表に、さまざまなエラーの解決策を示します。

{
 "Code": "AuthenticationFail.OIDCToken.Expired",
 "Message": "This JsonWebToken is expired."
}

{
 "Code": "Throttling.User",
 "Message": "Request was denied due to user flow control."
}

{
 "Code": "AuthenticationFail.OIDCToken.AudienceNotMatch",
 "Message": "Invalid audience."
}

{
 "Code": "AuthenticationFail.OIDCToken.IssuerConfigurationBroken",
 "Message": "Get public keys from OIDC Provider failed, the issuer is https://kubernetes.default.svc."
}

{
 "Code": "AuthenticationFail.OIDCToken.IssuerNotMatch",
 "Message": "The issuer in the OIDC Token doesn't match the OIDC Provider registered."
}

{
 "Code": "AuthenticationFail.NoPermission",
 "Message": "No such OIDC Provider registered."
}

{
 "Code": "EntityNotExist.Role",
 "Message": "The role not exists: acs:ram::19981***:role/***. "
}

{
  "Code": "AuthenticationFail.NoPermission",
  "Message": "There is no permission"
}

RRSAのOIDCトークン認証をサポートする一般的に使用されるCLIの有効化

ack-ram-toolを使用して、一般的に使用されるCLIを有効にし、ポッドでRRSAのOIDCトークン認証をサポートできます。 次の表に、設定と例を示します。

{
  "current": "rrsa",
  "profiles": [
    {
      "name": "rrsa",
      "mode": "OIDC",
      "region_id": "cn-hangzhou",
      "ram_session_name": "test-rrsa"
    }
  ],
  "meta_path": ""
}

$ aliyun sts GetCallerIdentity
{
    "AccountId": "11380***",
    "Arn": "acs:ram::1138***:assumed-role/test-rrsa-***/test-rrsa",
    "IdentityType": "AssumedRoleUser",
    "PrincipalId": "33300***:test-rrsa",
    "RequestId": "20F78881-F47E-5771-90D6-***",
    "RoleId": "33300***"
}

$ aliyun sts GetCallerIdentity --region cn-hangzhou --role-session-name=test-rrsa
{
	"AccountId": "11380***",
	"Arn": "acs:ram::1138***:assumed-role/test-rrsa-***/test-rrsa",
	"IdentityType": "AssumedRoleUser",
	"PrincipalId": "33300***:test-rrsa",
	"RequestId": "20F78881-F47E-5771-90D6-***",
	"RoleId": "33300***"
}

$ ack-ram-tool export-credentials -f environment-variables -- aliyunlog log list_project --region-endpoint=cn-hangzhou.log.aliyuncs.com

{"count": 1, "projects": [
{"createTime": "1676282996", "description": "k8s log project, ***",
 "lastModifyTime": "1676282996", "owner": "", "projectName": "k8s-log-c0edc***", 
 "region": "cn-hangzhou", "resourceGroupId": "rg-***", "status": "Normal"}],
  "total": 24}

provider "alicloud" {
  assume_role_with_oidc {
    role_session_name = "terraform-with-rrsa-auth-example"
  }
  region = "cn-hangzhou"
}

関連ドキュメント

• ack-pod-identity-webhook

• ServiceAccountトークンボリューム投影

• OIDCの紹介

• OIDCベースSSOの概要

• AssumeRoleWithOIDC-OIDCを使用してSSO中にRAMロールを引き受けるSTSトークンを取得します

• ack-ram-tool