Usa IRSA con AWS SDK

Utilizzo delle credenziali

Per utilizzare le credenziali dei ruoli IAM per gli account di servizio (IRSA), il codice può usare qualsiasi AWS SDK per creare un client per un servizio AWS con un SDK e, per impostazione predefinita, l’SDK cercherà le credenziali per AWS Identity and Access Management da utilizzare in una catena di posizioni. I ruoli IAM per le credenziali degli account di servizio vengono utilizzati se non specifichi un provider di credenziali quando crei il client o inizializzi in altro modo l’SDK.

Questo perché i ruoli IAM per gli account di servizio sono stati aggiunti come passaggio nella catena di credenziali predefinita. Se i carichi di lavoro attualmente utilizzano credenziali che si trovano all’inizio della catena di credenziali, tali credenziali continueranno a essere utilizzate anche se configuri ruoli IAM per gli account di servizio per lo stesso carico di lavoro.

L’SDK scambia automaticamente il token OIDC dell’account di servizio con credenziali temporanee di Servizio di token di sicurezza AWS utilizzando l’azione AssumeRoleWithWebIdentity. Amazon EKS e questa azione SDK continuano a ruotare le credenziali temporanee rinnovandole prima della scadenza.

Quando utilizzi Ruoli IAM per gli account di servizio, i container nei tuoi pod devono utilizzare una versione AWS SDK che supporta l’assunzione di un ruolo IAM tramite un file di token di identità web OpenID Connect. Accertati di utilizzare le seguenti versioni, o successive, per il tuo SDK AWS:

Java (versione 2) — 2.10.11
Java – 1.12.782
AWS SDK per Go v1 – 1.23.13
AWS SDK per Go v2: supporto per tutte le versioni
Python (Boto3) — 1.9.220
Python (botocore) — 1.12.200
AWS CLI - 1.16.232
Nodo: 2.525.0 e 3.27.0
Ruby — 3.58.0
C++ — 1.7.174
.NET: 3,3.659.1 – Devi includere anche AWSSDK.SecurityToken.
PHP — 3.110.7

Molti componenti aggiuntivi popolari di Kubernetes, come Cluster Autoscaler, il comando per instrada il traffico Internet col bilanciatore del carico AWS e il plug-in CNI di Amazon VPC per Kubernetes supportano i ruoli IAM per gli account di servizio.

Per assicurarti che l’SDK utilizzato sia supportato, quando crei i container segui la procedura di installazione per il tuo SDK preferito disponibile in Strumenti per costruire su AWS.

Considerazioni

Java

Quando si utilizza Java, è necessario includere il modulo sts nel percorso della classe. Per ulteriori informazioni, consulta WebIdentityTokenFileCredentialsProvider nei documenti SDK Java.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

IAM multi-account

Recupera le chiavi di firma