[Ep.21] [Argo CD 보안 & 확장 #1] Argo CD와 RBAC(Role-Based Access Control) 설정

🔹 RBAC(Role-Based Access Control)란?

RBAC(Role-Based Access Control)는 사용자 또는 그룹에게 특정 리소스에 대한 접근 권한을 부여하는 보안 모델입니다.
Argo CD에서는 RBAC을 활용하여 애플리케이션, 프로젝트, 동기화 권한 등을 세밀하게 제어할 수 있습니다.

 

✅ RBAC의 주요 개념
✔ 사용자(User) → Argo CD에 로그인하는 사용자
✔ 역할(Role) → 특정 권한이 부여된 역할 (예: 읽기 전용, 배포 관리자)
✔ 권한(Rule) → 특정 리소스에 대한 접근 허용 여부 (예: 동기화 실행, 삭제 금지)
✔ 그룹(Group) → 여러 사용자를 하나의 그룹으로 묶어 RBAC 적용 가능

 

✅ RBAC 설정이 필요한 이유
✔ 보안 강화를 위해 특정 사용자만 애플리케이션을 수정할 수 있도록 제한
✔ 운영(Production) 환경과 개발(Development) 환경의 접근 권한을 다르게 적용
✔ GitOps 환경에서 불필요한 변경을 방지하여 안전한 배포 운영 가능

---

🔹 Argo CD RBAC 설정 방법

Argo CD의 RBAC 설정은 argocd-rbac-cm ConfigMap을 사용하여 관리됩니다.

 

✅ RBAC 구성 요소

구성 요소	설명
policy.csv	사용자 또는 그룹에 대한 권한을 정의
scopes	로그인 사용자 인증에 사용할 속성 설정
groups	특정 사용자 그룹 지정 가능
roles	사용자에게 할당할 역할 설정

---

🔹 Argo CD RBAC 기본 설정

✅ 1. Argo CD RBAC 설정 확인

Argo CD 기본 RBAC 설정은 argocd-rbac-cm ConfigMap에 저장되어 있습니다.
기본 설정을 확인하려면 다음 명령어를 실행합니다.

kubectl get configmap argocd-rbac-cm -n argocd -o yaml

 

✅ 출력 예시:

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  policy.default: role:readonly  # 기본적으로 모든 사용자는 ReadOnly 역할
  scopes: "[groups]"  # 사용자 그룹을 RBAC 인증에 사용

 

✅ 설명:

• policy.default: role:readonly → 기본적으로 모든 사용자는 읽기 전용(ReadOnly)
• scopes: "[groups]" → 그룹 기반 인증 활성화

---

✅ 2. 사용자 역할(Role) 정의하기

RBAC을 활용하여 특정 사용자 또는 그룹에게 필요한 권한만 부여할 수 있습니다.

 

✅ 예제: argocd-rbac-cm ConfigMap에 관리자 및 개발자 역할 추가

apiVersion: v1
kind: ConfigMap
metadata:
  name: argocd-rbac-cm
  namespace: argocd
data:
  policy.csv: |
    g, admin-group, role:admin  # admin-group은 관리자 역할
    g, dev-group, role:developer  # dev-group은 개발자 역할
    p, role:admin, applications, *, */*, allow  # 관리자(admin)는 모든 애플리케이션을 제어 가능
    p, role:developer, applications, sync, default/*, allow  # 개발자는 동기화(sync)만 가능
    p, role:developer, applications, delete, default/*, deny  # 개발자는 삭제 불가능
  scopes: "[groups]"
  policy.default: role:readonly

 

✅ 설명:
✔ g, admin-group, role:admin → admin-group 사용자는 admin 역할을 가짐
✔ g, dev-group, role:developer → dev-group 사용자는 developer 역할을 가짐
✔ p, role:admin, applications, *, */*, allow → admin 역할은 모든 애플리케이션 관리 가능
✔ p, role:developer, applications, sync, default/*, allow → developer 역할은 동기화 가능
✔ p, role:developer, applications, delete, default/*, deny → developer 역할은 삭제 불가능

 

✅ ConfigMap 적용:

kubectl apply -f argocd-rbac-cm.yaml

---

🔹 Argo CD RBAC을 통한 접근 제어

✅ 1. 특정 애플리케이션에 대한 권한 부여

특정 애플리케이션에 대한 접근 권한을 설정할 수도 있습니다.

✅ 예제: 개발자는 frontend-app 애플리케이션만 동기화 가능하도록 설정

data:
  policy.csv: |
    p, role:developer, applications, sync, default/frontend-app, allow

 

✅ 설명:
✔ 개발자는 frontend-app 애플리케이션만 동기화 가능
✔ 다른 애플리케이션에는 접근 불가

---

✅ 2. 프로젝트 기반 RBAC 설정

Argo CD는 프로젝트 단위로 RBAC을 설정할 수도 있습니다.

✅ 예제: staging 프로젝트의 애플리케이션만 동기화 가능하도록 설정

data:
  policy.csv: |
    p, role:developer, projects, get, staging, allow
    p, role:developer, applications, sync, staging/*, allow

 

✅ 설명:
✔ developer 역할은 staging 프로젝트의 애플리케이션만 동기화 가능
✔ 다른 프로젝트에는 접근 불가

 

✅ 프로젝트 목록 확인:

argocd proj list

---

✅ 3. RBAC 정책 테스트

RBAC 정책이 올바르게 적용되었는지 테스트할 수 있습니다.

 

✅ 현재 로그인한 사용자의 역할 확인:

argocd account get-user-info

 

✅ RBAC 정책 확인:

argocd account can-i sync applications default/frontend-app

 

✅ 출력 예시:

yes  # 동기화 가능

 

✅ RBAC 정책 적용 후 Argo CD 재시작 (필요 시)

kubectl rollout restart deployment argocd-server -n argocd

---

🔹 Argo CD RBAC 관리 CLI 명령어 정리

 

명령어	설명
argocd proj list	Argo CD 프로젝트 목록 확인
argocd account get-user-info	현재 로그인한 사용자의 RBAC 역할 확인
argocd account can-i sync applications <APP>	특정 애플리케이션에 대한 동기화 가능 여부 확인
kubectl get configmap argocd-rbac-cm -n argocd -o yaml	현재 RBAC 설정 조회
kubectl rollout restart deployment argocd-server -n argocd	Argo CD 서버 재시작 (RBAC 변경 적용)

---

🔹 결론: 이번 글에서 배운 핵심 내용 정리

🟢 Argo CD RBAC을 활용하면 사용자 또는 그룹별로 애플리케이션 및 프로젝트 접근을 제어 가능
🟢 ConfigMap을 활용하여 RBAC 정책을 쉽게 정의하고 관리할 수 있음
🟢 RBAC을 통해 운영 환경과 개발 환경에 대한 권한을 분리하여 보안성을 강화할 수 있음
🟢 CLI 명령어를 활용하여 현재 사용자 권한을 확인하고, 필요한 정책을 테스트할 수 있음