View a markdown version of this page

Usa IRSA con AWS SDK - Amazon EKS

Contribuisci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa IRSA con AWS SDK

Utilizzo delle credenziali

Per utilizzare le credenziali di IAM roles for service accounts (IRSA), il codice può utilizzare qualsiasi AWS SDK per creare un client per un AWS servizio con un SDK e, per impostazione predefinita, l'SDK cerca in una catena di posizioni le credenziali di AWS Identity and Access Management da utilizzare. I ruoli IAM per le credenziali degli account di servizio verranno utilizzati se non specifichi un provider di credenziali quando crei il client o inizializzi in altro modo l'SDK.

Questo perché i ruoli IAM per gli account di servizio sono stati aggiunti come passaggio nella catena di credenziali predefinita. Se i tuoi carichi di lavoro attualmente utilizzano credenziali che si trovano in una fase precedente della catena di credenziali, tali credenziali continueranno a essere utilizzate anche se configuri i ruoli IAM per gli account di servizio per lo stesso carico di lavoro.

L'SDK scambia automaticamente il token OIDC dell'account di servizio con credenziali temporanee da Security Token Service utilizzando l'azione. AWS AssumeRoleWithWebIdentity Amazon EKS e questa azione SDK continuano a ruotare le credenziali temporanee rinnovandole prima della scadenza.

Quando si utilizzano i ruoli IAM per gli account di servizio, i contenitori dei Pod devono utilizzare una versione AWS SDK che supporti l'assunzione di un ruolo IAM tramite un file token di identità Web OpenID Connect. Assicurati di utilizzare le seguenti versioni, o successive, per il tuo SDK: AWS

Molti popolari componenti aggiuntivi di Kubernetes, come Cluster Autoscaler, Route internet traffic with Load AWS Balancer Controller e il plug-in Amazon VPC CNI per Kubernetes, supportano i ruoli IAM per gli account di servizio.

Per assicurarti che l’SDK utilizzato sia supportato, quando crei i container segui la procedura di installazione per il tuo SDK preferito disponibile in Strumenti per costruire su AWS.

Considerazioni

Java

Quando si utilizza Java, è necessario includere il modulo sts nel percorso della classe. Per ulteriori WebIdentityTokenFileCredentialsProviderinformazioni, consulta la documentazione di Java SDK.