← До списку лабораторних по Kubernetes
Повний опис / сценарій лабораторної:
Мета: навчитися налаштовувати workload identity або аналогічний механізм замість статичних ключів. Крок 1. Ознайомитися з документацією свого cloud provider. Пояснення: gke eks і aks мають різні налаштування. Крок 2. Створити роль у cloud яка дозволяє наприклад читати з object storage. Пояснення: роль описує дозволені дії. Крок 3. Створити kubernetes serviceaccount який буде мати цей доступ. Команда: kubectl create serviceaccount storage-sa Крок 4. Налаштувати звязок між serviceaccount і роллю провайдера. Пояснення: зазвичай це робиться через анотації або зовнішню команду. Крок 5. Створити pod який використовує storage-sa. Пояснення: контейнер повинен мати cloud sdk або клієнт. Крок 6. Спробувати прочитати обєкт з cloud storage без ключів. Пояснення: доступ має відбуватися через тимчасовий токен. Крок 7. Переконатися що pod без storage-sa не має цього доступу. Пояснення: запуск другого pod з default serviceaccount. Крок 8. Перевірити логи cloud audit. Пояснення: переконайся що звернення йде від потрібної ідентичності. Крок 9. Продумати ротацію прав. Пояснення: замість зміни secret ти змінюєш роль у cloud. Крок 10. Міні звіт. Завдання: опиши переваги workload identity над зберіганням access key у secret.