Helfen Sie mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung eines unterstützten AWS -SDK

Bei der Verwendung IAM-Rollen für Servicekonten Pods müssen die Container in Ihrem eine AWS SDK-Version verwenden, die die Übernahme einer IAM-Rolle über eine OpenID Connect Web-Identity-Tokendatei unterstützt. Stellen Sie sicher, dass Sie die folgenden Versionen oder höher für Ihr AWS SDK verwenden:

Java (Version 2) – 2.10.11
Java – 1.11.704
Go – 1.23.13
Python (Boto3) — 1.9.220
Python (botocore) —1.12.200
AWS CLI — 1.16.232
Knoten – 2.525.0 und 3.27.0
Ruby – 3.58.0
C++ – 1.7.174
.NET – 3.3.659.1 – Sie müssen auch AWSSDK.SecurityToken angeben.
PHP – 3.110.7

Viele beliebte Kubernetes-Add-ons wie der Cluster-Autoscaler, Was ist die AWS Load Balancer Controller? und die Amazon VPC CNI plugin for Kubernetes, unterstützen IAM-Rollen für Servicekonten.

Um sicherzustellen, dass Sie ein unterstütztes SDK verwenden, befolgen Sie die Installationsanweisungen für Ihr bevorzugtes SDK unter Tools fzum Entwickeln in AWS, wenn Sie Ihre Container entwickeln.

Verwenden von Anmeldeinformationen

Um die Anmeldeinformationen von IAM-Rollen für Dienstkonten zu verwenden, kann Ihr Code ein beliebiges AWS SDK verwenden, um einen Client für einen AWS Service mit einem SDK zu erstellen. Standardmäßig sucht das SDK in einer Kette von Speicherorten nach zu verwendenden AWS Identity and Access Management Anmeldeinformationen. Die IAM-Rollen für Anmeldeinformationen für Servicekonten werden verwendet, wenn Sie bei der Erstellung des Clients keinen Anmeldeinformationsanbieter angeben oder Sie das SDK anderweitig initialisiert haben.

Das funktioniert, weil IAM-Rollen für Servicekonten als Schritt in der standardmäßigen Anmeldeinformationskette hinzugefügt wurden. Wenn Ihre Workloads derzeit Anmeldeinformationen verwenden, die sich an früherer Stelle in der Anmeldeinformationskette befinden, werden diese Anmeldeinformationen auch dann weiterhin verwendet, wenn Sie IAM-Rollen für Servicekonten für dieselbe Workload konfigurieren.

Das SDK tauscht mithilfe der AssumeRoleWithWebIdentity Aktion automatisch das OIDC Dienstkonto-Token gegen temporäre Anmeldeinformationen AWS Security Token Service von aus aus. Amazon EKS und diese SDK-Aktion rotieren weiterhin die temporären Anmeldeinformationen, indem sie erneuert werden, bevor sie ablaufen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Authentifizieren Sie sich bei einem anderen Konto

Signaturschlüssel abrufen