À utiliser IRSA avec AWS SDK - Amazon EKS

Aidez à améliorer cette page

Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tous.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

À utiliser IRSA avec AWS SDK

Utilisation des informations d’identification

Pour utiliser les informations d'identification IAM des rôles pour les comptes de service, votre code peut utiliser n'importe lequel AWS SDK pour créer un client pour un AWS service avec un. Par défautSDK, les informations SDK d' AWS Identity and Access Management identification à utiliser sont recherchées dans une chaîne d'emplacements. Les IAM rôles pour les informations d'identification des comptes de service seront utilisés si vous ne spécifiez pas de fournisseur d'informations d'identification lorsque vous créez le client ou que vous initialisez le. SDK

Cela fonctionne car IAM les rôles pour les comptes de service ont été ajoutés en tant qu'étape de la chaîne d'identification par défaut. Si vos charges de travail utilisent actuellement des informations d'identification situées plus tôt dans la chaîne d'informations d'identification, ces informations d'identification continueront d'être utilisées même si vous configurez IAM des rôles pour des comptes de service pour la même charge de travail.

Échange SDK automatiquement le OIDC jeton du compte de service contre des informations d'identification temporaires à AWS Security Token Service l'aide de l'AssumeRoleWithWebIdentityaction. Amazon EKS et cette SDK action continuent à alterner les informations d'identification temporaires en les renouvelant avant leur expiration.

Lors de leur utilisationRôles IAM pour les comptes de service, les conteneurs qu'ils Pods contiennent doivent utiliser une AWS SDK version qui permet d'assumer un IAM rôle via un fichier de jeton d'identité OpenID Connect Web. Assurez-vous d'utiliser les versions suivantes, ou des versions ultérieures, pour votre AWS SDK :

De nombreux Kubernetes modules complémentaires populaires, tels que le Cluster AutoscalerAcheminez le trafic Internet avec le AWS Load Balancer Controller, le et les IAM rôles de Amazon VPC CNI plugin for Kubernetessupport pour les comptes de service.

Pour vous assurer que vous utilisez un conteneur compatibleSDK, suivez les instructions d'installation de votre choix SDK sur Tools to Build on AWS lorsque vous créez vos conteneurs.