IAM Roles for Service Accounts (IRSA)

개요

IAM Roles for Service Accounts(IRSA)는 클라우드 환경, 특히 Kubernetes(EKS)에서 Pod 또는 애플리케이션이 IAM 역할을 안전하게 사용하도록 하는 인증 방식이다. 이는 서비스 계정(Service Account)에 IAM 역할(Role)을 직접 매핑하여 장기 키를 제거하고, 보안성을 강화한 인증 체계를 제공한다.

---

1. 개념 및 정의

항목	내용	비교
개념	Kubernetes 서비스 계정과 IAM 역할을 연동하여 클라우드 리소스 접근 제어	기존 Access Key 기반 인증 대체
목적	자격 증명(Key) 노출 없는 안전한 인증	보안성 및 운영 효율성 강화
필요성	컨테이너 및 마이크로서비스 확산에 따른 보안 관리 자동화	DevOps 환경 필수 구성

---

2. 특징

특징	설명	비교
키리스(Keyless) 접근	IAM 역할을 통한 임시 자격 증명 사용	장기 Access Key 불필요
세분화된 권한 제어	Pod 단위의 최소 권한 정책 설정 가능	RBAC과 IAM 연동
자동화 지원	AWS STS와 연계하여 동적 인증 제공	보안 토큰 자동 갱신
보안 강화	메타데이터 기반 인증으로 위조 불가	Key 탈취 공격 차단

---

3. 구성 요소

구성 요소	설명	예시
IAM Role	AWS 리소스 접근 권한을 정의한 역할	S3ReadOnlyRole, DynamoDBAccessRole
Kubernetes Service Account	Pod가 사용하는 Kubernetes 기본 인증 단위	app-sa, backend-sa
OIDC Provider	Kubernetes 클러스터의 신원 인증 제공자	AWS IAM OIDC Provider
AWS STS (Security Token Service)	임시 보안 토큰을 발급하여 인증 수행	AssumeRoleWithWebIdentity

---

4. 기술 요소

기술	설명	예시
OIDC Federation	Kubernetes와 AWS IAM 간 신뢰 관계 설정	OpenID Connect 인증
AssumeRoleWithWebIdentity	OIDC 토큰 기반으로 IAM 역할을 임시 할당	AWS STS API 호출
IAM Policy	역할별 접근 제어 정책	S3:GetObject, EC2:DescribeInstances
Pod Annotation	서비스 계정에 IAM 역할 연결 설정	eks.amazonaws.com/role-arn

---

5. 장점 및 이점

구분	설명	예시
보안 강화	자격 증명 키 제거로 보안 사고 최소화	Key 탈취 공격 차단
운영 효율성	IAM 역할과 Kubernetes 정책의 통합 관리	자동 인증 구성
확장성	멀티 네임스페이스 및 클러스터 환경 지원	EKS, GKE, AKS 환경 통합
규제 준수	접근 통제 로그 제공 및 감사 대응	ISO 27001, SOC2 대응

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
EKS Pod 권한 관리	Pod 단위 AWS 리소스 접근 제어	IAM Role 제한 정책 필요
CI/CD 보안 통합	배포 파이프라인 내 인증 자동화	서비스 계정 인증 연동
멀티테넌시 환경 보안	각 테넌트별 독립 권한 부여	네임스페이스 분리 필수
하이브리드 클라우드 인증	온프레미스와 클라우드 간 연동	OIDC Provider 구성 필요

---

7. 결론

IRSA(IAM Roles for Service Accounts)는 Kubernetes 기반 클라우드 네이티브 환경에서 보안성과 자동화를 동시에 달성할 수 있는 혁신적인 인증 방식이다. 자격 증명 키를 제거하고 OIDC를 통한 동적 인증을 제공함으로써, DevOps와 보안팀 모두에게 효율적이고 안전한 운영 환경을 보장한다.