À utiliser IRSA avec le AWS SDK

Utilisation des informations d’identification

Pour utiliser les informations d'identification IAM des rôles pour les comptes de service, votre code peut utiliser n'importe lequel AWS SDK pour créer un client pour un AWS service doté d'un. Par défautSDK, les SDK informations d'identification AWS Identity and Access Management à utiliser sont recherchées dans une chaîne d'emplacements. Les IAM rôles pour les informations d'identification des comptes de service seront utilisés si vous ne spécifiez pas de fournisseur d'informations d'identification lorsque vous créez le client ou que vous initialisez le. SDK

Cela fonctionne car IAM les rôles pour les comptes de service ont été ajoutés en tant qu'étape de la chaîne d'identification par défaut. Si vos charges de travail utilisent actuellement des informations d'identification situées plus tôt dans la chaîne d'informations d'identification, ces informations d'identification continueront d'être utilisées même si vous configurez IAM des rôles pour des comptes de service pour la même charge de travail.

Échange SDK automatiquement le compte de service OIDC jeton pour les informations d'identification temporaires du AWS Security Token Service à l'aide de l'AssumeRoleWithWebIdentityaction. Amazon EKS et cette SDK action continuent à alterner les informations d'identification temporaires en les renouvelant avant leur expiration.

Lorsque vous utilisez Rôles IAM pour les comptes de service IAM des rôles pour des comptes de service, les conteneurs de votre Pods doit utiliser une AWS SDK version qui permet d'assumer un IAM rôle par le biais d'un OpenID Connect fichier de jeton d'identité Web. Assurez-vous d'utiliser les versions suivantes, ou des versions ultérieures, pour votre AWS SDK :

Java (version 2) – 2.10.11
Java – 1.11.704
Go – 1.23.13
Python (Boto3) – 1.9.220
Python (botocore) – 1.12.200
AWS CLI – 1.16.232
Node – 2.525.0 et 3.27.0
Ruby – 3.58.0
C++ – 1.7.174
. NET— 3.3.659.1 — Vous devez également inclure. AWSSDK.SecurityToken
PHP— 3,110,7

De nombreux populaires Kubernetes des modules complémentaires, tels que le Cluster Autoscaler, le trafic Internet Acheminez le trafic Internet avec le AWS Load Balancer Controller Route avec AWS Load Balancer Controller et le plugin Configurer le VPC CNI plugin Amazon à utiliser IRSA VPC CNI Amazon pour Kubernetes, les rôles de support pour les comptes IAM de service.

Pour vous assurer que vous utilisez un conteneur compatibleSDK, suivez les instructions d'installation de votre choix SDK sur Tools to Build on AWS lorsque vous créez vos conteneurs.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Authentifiez-vous sur un autre compte avec IRSA

Récupérez les clés de signature pour valider OIDC jetons