Verwenden Sie IRSA mit dem AWS SDK - Amazon EKS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie IRSA mit dem AWS SDK

Verwenden von Anmeldeinformationen

Um die Anmeldeinformationen von IAM Rollen für Dienstkonten zu verwenden, kann Ihr Code jeden verwenden, AWS SDK um einen Client für einen AWS Dienst mit einem SDK zu erstellen und standardmäßig die SDK Suche in einer Kette von Speicherorten nach AWS Identity and Access Management-Anmeldeinformationen zu verwenden. Die IAM Rollen für Anmeldeinformationen für Dienstkonten werden verwendet, wenn Sie bei der Erstellung des Clients keinen Anmeldeinformationsanbieter angeben oder den auf andere Weise initialisiert haben. SDK

Das funktioniert, weil IAM Rollen für Dienstkonten als Schritt in der standardmäßigen Anmeldeinformationskette hinzugefügt wurden. Wenn Ihre Workloads derzeit Anmeldeinformationen verwenden, die sich an früherer Stelle in der Anmeldeinformationskette befinden, werden diese Anmeldeinformationen auch dann weiterhin verwendet, wenn Sie IAM Rollen für Dienstkonten für denselben Workload konfigurieren.

Das tauscht das Dienstkonto SDK automatisch aus OIDC Token für temporäre Anmeldeinformationen vom AWS Security Token Service mithilfe der AssumeRoleWithWebIdentity Aktion. Amazon EKS und diese SDK Aktion rotieren weiterhin die temporären Anmeldeinformationen, indem sie erneuert werden, bevor sie ablaufen.

Wenn Sie IAM-Rollen für Servicekonten IAM Rollen für Servicekonten verwenden, werden die Container in Ihrem Pods muss eine AWS SDK Version verwenden, die die Übernahme einer IAM Rolle über einen unterstützt OpenID Connect Token-Datei für Web-Identitäten. Stellen Sie sicher, dass Sie die folgenden Versionen oder eine neuere Version für folgende Zwecke verwenden AWS SDK:

Viele beliebt Kubernetes Add-Ons wie Cluster Autoscaler, Internetverkehr mit dem AWS Load Balancer Controller weiterleiten Route Internet Traffic with Load AWS Balancer Controller und das Konfigurieren Sie VPC CNI das zu verwendende Amazon-Plugin IRSA VPC CNI Amazon-Plugin für Kubernetes unterstützen IAM Rollen für Dienstkonten.

Um sicherzustellen, dass Sie eine unterstützte Version verwendenSDK, folgen Sie AWS beim Erstellen Ihrer Container den Installationsanweisungen für Ihre bevorzugte SDK Version unter Tools to Build On.