AWS SDK와 함께 IRSA 사용

보안 인증 정보 사용

서비스 계정에 대한 IAM 역할의 보안 인증 정보를 사용하려면 코드에서 임의의 AWS SDK를 사용하여 SDK가 포함된 AWS 서비스에 대한 클라이언트를 만들 수 있고, 기본적으로 SDK는 일련의 위치에서 사용할 AWS ID 및 액세스 관리 보안 인증 정보를 검색합니다. 클라이언트를 생성하거나 SDK를 초기화했을 때 보안 인증 정보 공급자를 지정하지 않으면 서비스 계정에 대한 IAM 역할 보안 인증 정보가 사용됩니다.

이는 서비스 계정에 대한 IAM 역할이 기본 보안 인증 정보 체인의 한 단계로 추가되었기 때문에 작동합니다. 워크로드가 현재 보안 인증 정보 체인의 이전 단계에 있는 보안 인증 정보를 사용하는 경우 동일한 워크로드에 대해 서비스 계정에 대한 IAM 역할을 구성하더라도 해당 보안 인증 정보는 계속 사용됩니다.

SDK는 AssumeRoleWithWebIdentity 작업을 사용하여 AWS 보안 토큰 서비스에서 임시 보안 인증 정보에 대한 서비스 계정 OIDC 토큰을 자동 교환합니다. Amazon EKS와 이 SDK 작업은 만료되기 전에 갱신하여 임시 보안 인증 정보를 계속 교체합니다.

서비스 계정에서비스 계정에 대한 IAM 역할 IAM 역할을 사용할 때 Pods에 있는 컨테이너에서는 OpenID Connect 웹 ID 토큰 파일을 통해 IAM 역할을 수임할 수 있도록 지원하는 AWS SDK 버전을 사용해야 합니다. AWS SDK에 대해 다음과 같은 버전 또는 이후 버전을 사용해야 합니다.

Java(버전 2) - 2.10.11
Java - 1.11.704
Go - 1.23.13
Python(Boto3) - 1.9.220
Python(botocore) - 1.12.200
AWS CLI – 1.16.232
노드 – 2.525.0 및 3.27.0
Ruby - 3.58.0
C++ - 1.7.174
.NET – 3.3.659.1 – AWSSDK.SecurityToken도 포함해야 합니다.
PHP - 3.110.7

클러스터 Autoscaler, AWS 로드 밸런서 컨트롤러를 사용한 인터넷 트래픽 AWS 로드 밸런서 컨트롤러를 통해 인터넷 트래픽 라우팅라우팅, Kubernetes용 IRSA를 사용하도록 Amazon VPC CNI 플러그인 구성Amazon VPC CNI 플러그인 등 많은 인기 있는 Kubernetes 애드온이 서비스 계정에 대한 IAM 역할을 지원합니다.

지원되는 SDK를 사용 중인지 확인하려면 컨테이너를 빌드할 때 AWS에서의 구축을 위한 도구에서 선호하는 SDK에 대한 설치 지침을 따르세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IRSA를 사용하여 다른 계정에 인증

서명 키를 가져와서 OIDC 토큰 검증