Karpenter ServiceAccount(SA)

k8s 안에서 Pod의 신원을 나타내는 계정
karpenter 컨트롤러 Pod는 kapenter ns의 ServiceAccount/karpenter로 실행

SA ↔ IAM Role 매핑

EKS는 IRSA로 k8s SA → AWS IAM Role을 연결
즉 ServiceAccount/karpenter에 아래와 같은 주석이 달려 있으면 Karpenter 컨트롤러 Pod는 해당 IAM Role(ex) KarpenterControllerRole~)을 AssumeRole해서 AWS API를 호출 가능
```
kubectl -n karpenter annotate sa karpenter \\
  eks.amazonaws.com/role-arn=arn:aws:iam::<ACCOUNT_ID>:role/KarpenterControllerRole-...
```

ServiceAccount(SA)

설명

k8s 내부에서 Pod가 API 서버에 접근할 때 쓰는 신분증 같은 것
기본적으로 만든 Pod는 하나의 SA로 실행
- 지정하지 않으면 default로 실행

필요한 이유

Pod 안에서 실행되는 애플리케이션이 보통 k8s API나 외부 시스템에 인증이 필요할 때, SA → 권한 → 인증 토큰이 연결돼서 사용
즉, Pod가
- “내가 누구인지(API 서버에게)” 증명하기 위해
- “무엇을 할 수 있는지” 정의된 권한을 받기 위해
SA를 사용

SA 동작 원리

SA 생성
```
kubectl create serviceaccount my-sa
```