Scopri come funziona EKS Pod Identity - Amazon EKS
Utilizzo delle associazioni EKS Pod Identity nel codiceCome funziona EKS Pod Identity Agent con un Pod

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri come funziona EKS Pod Identity

Le associazioni Amazon EKS Pod Identity offrono la possibilità di gestire le credenziali per le tue applicazioni, in modo simile al modo in cui i profili di EC2 istanza Amazon forniscono le credenziali alle istanze Amazon EC2 .

Amazon EKS Pod Identity fornisce le credenziali per i tuoi carichi di lavoro con un'API EKS Auth aggiuntiva e un pod di agenti che viene eseguito su ogni nodo.

Nei tuoi componenti aggiuntivi, come i componenti aggiuntivi Amazon EKS e i controller autogestiti, gli operatori e altri componenti aggiuntivi, l'autore deve aggiornare il proprio software per utilizzare la versione più recente. AWS SDKs Per l'elenco della compatibilità tra EKS Pod Identity e i componenti aggiuntivi prodotti da Amazon EKS, consulta la sezione precedente Restrizioni di EKS Pod Identity.

Utilizzo delle associazioni EKS Pod Identity nel codice

Nel tuo codice, puoi utilizzare il per accedere ai AWS SDKs servizi. AWS Scrivi codice per creare un client per un AWS servizio con un SDK e, per impostazione predefinita, l'SDK cerca in una catena di posizioni le credenziali di AWS Identity and Access Management da utilizzare. Dopo aver trovato credenziali valide, la ricerca viene interrotta. Per ulteriori informazioni sulle posizioni predefinite utilizzate, consulta la catena di fornitori di credenziali nella and Tools Reference Guide. AWS SDKs

Le associazioni EKS Pod Identity sono state aggiunte al provider di credenziali del container, che viene cercato in un passaggio nella catena di credenziali predefinita. Se i carichi di lavoro utilizzano attualmente credenziali che si trovano all'inizio della catena di credenziali, quest'ultime continuano a essere utilizzate anche se configuri un'associazione EKS Pod Identity per lo stesso carico di lavoro. In questo modo è possibile migrare in sicurezza da altri tipi di credenziali creando l'associazione prima di rimuovere le vecchie credenziali.

Il provider di credenziali del container assegna credenziali temporanee da un agente che viene eseguito su ogni nodo. In Amazon EKS, l'agente è Amazon EKS Pod Identity Agent e su Amazon Elastic Container Service l'agente è amazon-ecs-agent. SDKs Utilizzano le variabili di ambiente per individuare l'agente a cui connettersi.

Al contrario, IAM roles for service accounts fornisce un token di identità web che l' AWS SDK deve scambiare con AWS Security Token Service utilizzandoAssumeRoleWithWebIdentity.

Come funziona EKS Pod Identity Agent con un Pod

  1. Quando Amazon EKS avvia un nuovo pod che utilizza un account di servizio con un'associazione EKS Pod Identity, il cluster aggiunge il seguente contenuto al manifesto Pod:

        env:
    - name: AWS_CONTAINER_AUTHORIZATION_TOKEN_FILE
      value: "/var/run/secrets/pods.eks.amazonaws.com/serviceaccount/eks-pod-identity-token"
    - name: AWS_CONTAINER_CREDENTIALS_FULL_URI
      value: "http://169.254.170.23/v1/credentials"
    volumeMounts:
    - mountPath: "/var/run/secrets/pods.eks.amazonaws.com/serviceaccount/"
      name: eks-pod-identity-token
  volumes:
  - name: eks-pod-identity-token
    projected:
      defaultMode: 420
      sources:
      - serviceAccountToken:
          audience: pods.eks.amazonaws.com
          expirationSeconds: 86400 # 24 hours
          path: eks-pod-identity-token

  2. Kubernetes seleziona su quale nodo eseguire il pod. Quindi, Amazon EKS Pod Identity Agent sul nodo utilizza l'AssumeRoleForPodIdentityazione per recuperare le credenziali temporanee dall'API EKS Auth.

  3. EKS Pod Identity Agent rende disponibili queste credenziali per le operazioni eseguite all' AWS SDKs interno dei contenitori.

  4. Utilizza l'SDK nell'applicazione senza specificare un provider di credenziali per utilizzare la catena di credenziali predefinita. In alternativa, specifica il provider di credenziali del container. Per ulteriori informazioni sulle posizioni predefinite utilizzate, consulta la catena di fornitori di credenziali nella AWS SDKs and Tools Reference Guide.

  5. L'SDK utilizza le variabili di ambiente per connettersi all'EKS Pod Identity Agent e recuperare le credenziali.

    Nota

    Se i carichi di lavoro attualmente utilizzano credenziali che si trovano all'inizio della catena di credenziali, tali credenziali continueranno a essere utilizzate anche se configuri un'associazione EKS Pod Identity per lo stesso carico di lavoro.