EKS/GKE/AKS の参照権限を外部パートナーへ付与する

2023年07月19日

はじめに

平素は大変お世話になっております。
クイックガードのパー子です。

弊社の最近の傾向として、Kubernetesクラスタの運用をお任せいただく案件が多くなってきています。
このような案件においては、正式に受注する前の環境調査のために、まずはクラスタの参照権限のみ頂戴しています。

クラウド上にシステムを構築している場合、IAM (= Identity and Access Management) のメカニズムに基づいて権限を付与するのが一般的です。
近年ではマネージドの Kubernetesサービスを利用するシステムが増えてきていますが、IAM と Kubernetes の権限を結びつける仕組みは各クラウド・プロバイダによって少しずつ異なっており、適切な権限管理のためにはそれらの違いを正しく理解する必要があります。

本記事では、EKS (AWS)、GKE (Google Cloud)、AKS (Microsoft Azure) のそれぞれにおいて、ベンダーなどの外部パートナーに対して参照権限を付与する方法を解説します。

シナリオ

具体的に以下のシナリオを想定し、それに基づいて権限付与の仕組みを探っていきます。

動機と背景

すでに Kubernetesクラスタの構築が完了し、運用が開始されているものとします。
顧客はこのクラスタの運用の一部をベンダーに委任することを考えています。

一方、ベンダーは正式な受発注に先立って、見積もりやリスク評価のためにクラスタ環境の調査を必要としています。

調査の際、操作ミスによってクラスタが破壊されるリスクを回避したいため、付与される権限は参照に限定します。

権限付与の基準

アカウント管理のベストプラクティスに則って、権限付与はクラウド・プロバイダの IAM の仕組みに基づいて行います。

顧客 (= クラスタの所有者) とベンダーは異なる組織であり、そして、ゲスト・アカウントを作ることなく組織間で権限を委任したいと考えています。

また、スタッフのアカウントを個別に扱うのは煩雑なので、グループ単位で権限を管理したいところです。

スコープの限定

1つのクラスタ内に独立した複数のサービスが相乗りしているケースも多いため、特定の Namespace に限定して権限を付与する必要があります。
これにより、ベンダーが不意に委任契約の範囲外のサービスへアクセスしてしまうリスクを回避できます。

権限モデル

以上のシナリオを踏まえて、それぞれのクラウド・プロバイダが提供するマネージドKubernetes の権限モデルについて概説します。

EKS

EKS では、aws-auth という ConfigMap を使って IAM と Kubernetes の RBAC をマッピングします。

具体的には、Kubernetes の RBAC でグループと権限を定義しつつ、さらに ConfigMap で IAMプリンシパルと当該グループを紐づけます。

ここで指定できる IAMプリンシパルは、IAMロールと IAMユーザの 2種類です。

IAMグループは、

An IAM group isn’t an IAM principal, so it can’t be added to the ConfigMap.

とのことなので、ConfigMap に追加することはできません。
そのため、グループに権限付与したい場合は代わりに IAMロールを ConfigMap に定義したうえで、当該ロールを AssumeRole で引き受けるようにします。

また、kubectl のコンテキストを設定するために IAM権限 eks:DescribeCluster が必要です。

GKE

GKE でのアクセス制御には、(a) Kubernetes の RBAC を使う方法と、(b) Kubernetes RBAC を触らずに Google Cloud の IAMロールを単体で使う方法の 2つがあります。

詳細な制御が必要な場合は Kubernetes RBAC を使用し、大雑把な制御でよければ IAMロールが適しています。

RoleBinding の Subject として Googleグループを指定できますが、そのためには目的のグループを gke-security-groups という名称固定のグループの下にネストさせておく必要があります。

kubectl のコンテキストを設定するために必要な IAM権限は container.clusters.get です。
IAMロールとして Kubernetes Engine Cluster Viewer (container.clusterViewer) あたりを割り当てておくとよいでしょう。

AKS

AKSでは、認証に Azure Active Directory (= Azure AD) を使用できます。

認可については、GKE と同じく (a) Kubernetes RBAC と (b) Azureロールのどちらも使用できます。

認可に用いることができる Azureロールは組み込みのものが 4つあるほか、権限要件に応じてカスタムロールを定義することもできます。
(ただし、細かなアクセス制御が必要な場合は素直に Kubernetes RBAC を使用したほうがわかりやすいかと思います。)

また、アカウント・プリンシパルにロールを割り当てる際にスコープを限定すれば、権限を行使できる Namespace を絞ることができます。

Kubernetes RBAC を使用する場合、Role binding する際にユーザやグループの Object ID を指定します。

kubectl のコンテキスト設定に必要な Azureロールは Azure Kubernetes Service Cluster User Role です。
似たロールに Azure Kubernetes Service Cluster Admin Role も存在しますが、これは認証に AD を用いない特権ローカル・アカウントを使用して Kuberneteseリソースを操作するためのロールなので、本稿では扱いません。

設定例

権限モデルを理解したところで、次は実際にサービスを触りながら設定してみましょう。

なお、Kubernetesクラスタには以下の構成で Pod がデプロイされているものとします。
名前空間 ns-a に限定した参照権限を設定することを目指します。

名前空間	Pod
ns-a	nginx-a
ns-b	nginx-b

namespace-a.yml

---
apiVersion: 'v1'
kind: 'Namespace'
metadata:
  name: 'ns-a'

namespace-b.yml

---
apiVersion: 'v1'
kind: 'Namespace'
metadata:
  name: 'ns-b'

pod-a.yml

---
apiVersion: 'v1'
kind: 'Pod'
metadata:
  name: 'nginx-a'
spec:
  containers:
    - name: 'nginx'
      image: 'nginx:1.25.1-alpine3.17-slim'
      ports:
        - containerPort: 80

pod-b.yml

---
apiVersion: 'v1'
kind: 'Pod'
metadata:
  name: 'nginx-b'
spec:
  containers:
    - name: 'nginx'
      image: 'nginx:1.25.1-alpine3.17-slim'
      ports:
        - containerPort: 80

$ kubectl get namespaces
NAME              STATUS   AGE
default           Active   47h
kube-node-lease   Active   47h
kube-public       Active   47h
kube-system       Active   47h
ns-a              Active   4m38s
ns-b              Active   4m35s

$ kubectl get -n 'ns-a' pods
NAME      READY   STATUS    RESTARTS   AGE
nginx-a   0/1     Pending   0          2m7s

$ kubectl get -n 'ns-b' pods
NAME      READY   STATUS    RESTARTS   AGE
nginx-b   0/1     Pending   0          60s

EKS

AWS では、ベンダーはクロスアカウントで顧客環境のロールにスイッチしているケースが多いと思います。
そのため、ベンダーに委任する IAMロールに対して EKS のアクセス権限を付与します。

顧客側の作業

目的のロールの ARN は arn:aws:iam::123456789012:role/K8sReadOnlyRole-Vendor であり、IAM権限 eks:DescribeCluster を有しているものとします。

まずはこのロールを ConfigMap aws-auth に追加します。

$ kubectl edit -n 'kube-system' configmaps 'aws-auth'

エディタが開くので、IAMロールと Kubernetesユーザ/グループを適当な名前でマッピングします。

data:
  mapRoles: |
    - ...(デフォルトのマッピング)...
    - rolearn: 'arn:aws:iam::123456789012:role/K8sReadOnlyRole-Vendor'
      username: 'vendor'
      groups:
        - 'vendor'

続いて名前空間 ns-a に対する参照権限を持つ Role を用意します。

Kubernetes の組み込みClusterRole として view が存在するので、これを名前空間 ns-a と、ConfigMap aws-auth でマッピングしたグループ vendor に紐づけます。

./role-binding-eks.yml

---
apiVersion: 'rbac.authorization.k8s.io/v1'
kind: 'RoleBinding'
metadata:
  name: 'vendor'
  namespace: 'ns-a'
subjects:
  - kind: 'Group'
    name: 'vendor'
    apiGroup: 'rbac.authorization.k8s.io'
roleRef:
  kind: 'ClusterRole'
  name: 'view'
  apiGroup: 'rbac.authorization.k8s.io'

$ kubectl apply -f ./role-binding-eks.yml
rolebinding.rbac.authorization.k8s.io/vendor created

ベンダー側の作業

ベンダー側の作業は特にありません。

ベンダーのアカウントを使って EKSクラスタにアクセスできるか確認します。
以下の操作を行い、狙いどおりに操作が許可 or 拒否されるかを見ます。

ケース	名前空間	操作	実行可否
1	`ns-a`	Get	可
2	`ns-a`	Edit	不可
3	`ns-b`	Get	不可
4	クラスタ全体	Get	不可

なお、この EKSクラスタの名称は eks-cluster とします。

# kubeconfig セットアップ
$ aws eks update-kubeconfig --name 'eks-cluster'
Added new context arn:aws:eks:ap-northeast-1:123456789012:cluster/eks-cluster to /Users/yumeko/.kube/config

# ケース1 => OK
$ kubectl get -n 'ns-a' pods
NAME      READY   STATUS    RESTARTS   AGE
nginx-a   0/1     Pending   0          4h31m

# ケース2 => OK
$ kubectl edit -n 'ns-a' pods 'nginx-a'
error: pods "nginx-a" could not be patched: pods "nginx-a" is forbidden: User "vendor" cannot patch resource "pods" in API group "" in the namespace "ns-a"
You can run `kubectl replace -f /var/folders/dy/wzzvq1nd309_5r55lbcttdqc0000gn/T/kubectl-edit-1730301081.yaml` to try this update again.

# ケース3 => OK
$ kubectl get -n 'ns-b' pods
Error from server (Forbidden): pods is forbidden: User "vendor" cannot list resource "pods" in API group "" in the namespace "ns-b"

# ケース4 => OK
$ kubectl get namespaces
Error from server (Forbidden): namespaces is forbidden: User "vendor" cannot list resource "namespaces" in API group "" at the cluster scope

以上のとおり、名前空間 ns-a のリソースの閲覧はできるものの変更はできず、他の名前空間やクラスタ全体のスコープのリソースにはアクセスできないことが確認できました。

GKE

ベンダーのグループに対して Kubernetes RBAC を適用します。

なお、顧客側とベンダー側のドメインをそれぞれ以下とします。

組織	ドメイン
顧客	`customer.quickguard.net`
ベンダー	`vendor.quickguard.net`

顧客側の作業

gke-security-groups というグループのメンバーに、参照権限を与えたいベンダーのグループを追加します。

ここでは、対象のグループを team-yumeko@vendor.quickguard.net としました。

また、このグループに IAMロール Kubernetes Engine Cluster Viewer (container.clusterViewer) を割り当てておきます。

続いて、Google Cloud のコンソールにて目的の GKEクラスタを選択し、“DETAILS"タブ » “Security"セクション » “Google Groups for RBAC” を有効化します。

目的のグループに対して Role を割り当てます。

./role-binding-gke.yml

---
apiVersion: 'rbac.authorization.k8s.io/v1'
kind: 'RoleBinding'
metadata:
  name: 'vendor'
  namespace: 'ns-a'
subjects:
  - kind: 'Group'
    name: 'team-yumeko@vendor.quickguard.net'
    apiGroup: 'rbac.authorization.k8s.io'
roleRef:
  kind: 'ClusterRole'
  name: 'view'
  apiGroup: 'rbac.authorization.k8s.io'

$ kubectl apply -f ./role-binding-gke.yml
rolebinding.rbac.authorization.k8s.io/vendor created

ベンダー側の作業

ベンダー側で必要な作業はありません。

参照権限を付与されたグループのメンバー・アカウント (ここでは gondawara-yumeko@vendor.quickguard.net) に切り替えて GKEクラスタにアクセスしてみます。

目的の GKEクラスタの名称は gke-cluster とし、EKS と同じく 4つのケースについて確認します。

# Google Cloud ログイン
$ gcloud auth login 'gondawara-yumeko@vendor.quickguard.net'
Your browser has been opened to visit:

    https://accounts.google.com/o/oauth2/auth?...(snip)...


You are now logged in as [gondawara-yumeko@vendor.quickguard.net].
Your current project is [proj-a].  You can change this setting by running:
  $ gcloud config set project PROJECT_ID

# kubeconfig セットアップ
$ gcloud container clusters get-credentials --region 'asia-northeast1' 'gke-cluster'
Fetching cluster endpoint and auth data.
kubeconfig entry generated for gke-cluster.

# ケース1 => OK
$ kubectl get -n 'ns-a' pods
NAME      READY   STATUS    RESTARTS   AGE
nginx-a   1/1     Running   0          13h

# ケース2 => OK
$ kubectl edit -n 'ns-a' pods 'nginx-a'
error: pods "nginx-a" could not be patched: pods "nginx-a" is forbidden: User "gondawara-yumeko@vendor.quickguard.net" cannot patch resource "pods" in API group "" in the namespace "ns-a": requires one of ["container.pods.update"] permission(s).
You can run `kubectl replace -f /var/folders/dy/wzzvq1nd309_5r55lbcttdqc0000gn/T/kubectl-edit-1937391533.yaml` to try this update again.

# ケース3 => OK
$ kubectl get -n 'ns-b' pods
Error from server (Forbidden): pods is forbidden: User "gondawara-yumeko@vendor.quickguard.net" cannot list resource "pods" in API group "" in the namespace "ns-b": requires one of ["container.pods.list"] permission(s).

# ケース4 => OK
$ kubectl get namespaces
Error from server (Forbidden): namespaces is forbidden: User "gondawara-yumeko@vendor.quickguard.net" cannot list resource "namespaces" in API group "" at the cluster scope: requires one of ["container.namespaces.list"] permission(s).

AKS

本来ならば Azure Lighthouse を用いてベンダーに権限を委任したいところですが、現時点では残念ながら Kubernetesリソースへのアクセスを委任することができません。

方式	Lighthouse との併用不可の理由
Kubernetes RBAC	AKSクラスタを複数の Azure AD に紐づけることができないため。 (通常はすでに管理者用グループのために顧客側の Azure AD が紐づいているはず。)
Azureロール	Lighthouse が Kubernetesリソースの認可用ロール (= `Azure Kubernetes Service RBAC *`) をサポートしていないため。

そのため、管理が面倒ですが、ベンダーのユーザを顧客テナントにゲストとして招待する必要があります。
認可の方式はどちらでも構いませんが、Kubernetes RBAC を用いることにします。

顧客側の作業

まず、適当なグループを作り、そこにベンダーのスタッフをゲスト・ユーザとして招待します。
(グループの Object ID は ce260d4a-52ea-e541-3f16-14b9bbe6ddae とします。)

そのグループに、Azureロール Azure Kubernetes Service Cluster User Role を与えておきます。

続いて、当該グループに Role を割り当てます。

./role-binding-aks.yml

---
apiVersion: 'rbac.authorization.k8s.io/v1'
kind: 'RoleBinding'
metadata:
  name: 'vendor'
  namespace: 'ns-a'
subjects:
  - kind: 'Group'
    name: 'ce260d4a-52ea-e541-3f16-14b9bbe6ddae'
    apiGroup: 'rbac.authorization.k8s.io'
roleRef:
  kind: 'ClusterRole'
  name: 'view'
  apiGroup: 'rbac.authorization.k8s.io'

$ kubectl apply -f ./role-binding-aks.yml
rolebinding.rbac.authorization.k8s.io/vendor created

ベンダー側の作業

ゲスト・ユーザとして AKSクラスタにアクセスします。

Azure AD を用いて認証するために、事前に Azure Kubelogin をインストールしておきます。

AKSクラスタの名称は aks-cluster で、リソース・グループ aks-rg に配置されているものとします。

確認のパターンは EKS と同じく 4ケースです。

$ az aks get-credentials -g 'aks-rg' -n 'aks-cluster'
Merged "aks-cluster" as current context in /Users/yumeko/.kube/config

# ケース1 => OK
$ kubectl get -n 'ns-a' pods
NAME      READY   STATUS    RESTARTS   AGE
nginx-a   1/1     Running   0          2d7h

# ケース2 => OK
$ kubectl edit -n 'ns-a' pods 'nginx-a'
error: pods "nginx-a" could not be patched: pods "nginx-a" is forbidden: User "3386fb83-dc08-c2cb-5202-fa421226bef0" cannot patch resource "pods" in API group "" in the namespace "ns-a": User does not have access to the resource in Azure. Update role assignment to allow access.
You can run `kubectl replace -f /var/folders/dy/wzzvq1nd309_5r55lbcttdqc0000gn/T/kubectl-edit-3175532603.yaml` to try this update again.

# ケース3 => OK
$ kubectl get -n 'ns-b' pods
Error from server (Forbidden): pods is forbidden: User "3386fb83-dc08-c2cb-5202-fa421226bef0" cannot list resource "pods" in API group "" in the namespace "ns-b": User does not have access to the resource in Azure. Update role assignment to allow access.

# ケース4 => OK
$ kubectl get namespaces
Error from server (Forbidden): namespaces is forbidden: User "3386fb83-dc08-c2cb-5202-fa421226bef0" cannot list resource "namespaces" in API group "" at the cluster scope: User does not have access to the resource in Azure. Update role assignment to allow access.

まとめ

本記事では、各クラウド・プロバイダのマネージドKubernetesサービスにおいて、ベンダーなどの外部パートナーに対して参照権限のみを付与する方法をご紹介しました。

EKS (AWS)、GKE (Google Cloud)、AKS (Microsoft Azure) について、それぞれの権限モデルを解説したあと、実際にサービスを触って別組織のアカウントに対して参照権限を付与する設定例を見ました。

この記事が、外部パートナーに過大な権限を持たせることなく、適切なレベルに留めて委任するための一助になれば幸いです。

今後ともよろしくお願い申し上げます。

当記事の図表には AWS Architecture Icons、Google Cloud product icons、Material Symbols、Azure architecture icons、Kubernetes logo を使用しています。