EKS를 쓰시다면 kube-api-server에 대한 audit log를 수집하고 계실거라 생각됩니다.
aws-auth 설정을 할때 rolearn과 username을 설정하는데 이떄 username을 통합해서 쓰기도 합니다.
이렇게 되면 audit log 확인 시, 어떤 유저가 했는지 확인이 어렵습니다.
이를 해결하기 위해 아래와 같이 쓰면 username에 사용자의 이름이 들어가지게 됩니다.
- "groups":
- "system:developers"
"rolearn": "arn:aws:iam::1234567890:role/developer-role"
"username": "{{SessionName}}"여기서 중요한 것은 {{SessionName}} 입니다.
이 값을 사용하게 되면 aws federation user를 사용할 떄와 동일하게 username이 SessoionName쪽으로 들어가게 됩니다.
그렇기에 이 값을 활용해서 추후 roleBinding할 수도 있게 됩니다.
또한 audit log를 보게 되면 사용자의 이름이 잘 붙어서 나오는 것도 확인이 가능해집니다.
golang으로 devops 하고 있는 개발자입니다.