Usar o IRSA com o AWS SDK
Usar as credenciais
Para usar as credenciais das perfis do IAM para contas de serviço, seu código pode usar qualquer SDK do AWS para criar um cliente para um serviço do AWS com um SDK e, por padrão, o SDK pesquisa em uma cadeia de locais as credenciais do AWS Identity and Access Management a serem usadas. As credenciais do perfis do IAM para contas de serviço serão usadas se você não especificar um provedor de credenciais ao criar o cliente ou ao inicializar o SDK.
Isso funciona porque os perfis do IAM para contas de serviço foram adicionados como uma etapa na cadeia de credenciais padrão. Se suas workloads usam no momento credenciais mais antigas na cadeia de credenciais, essas credenciais continuarão sendo usadas mesmo se você configurar perfis do IAM para contas de serviço para a mesma workload.
O SDK troca automaticamente o token da conta de serviço OIDC por credenciais temporárias do AWS Security Token Service usando a ação AssumeRoleWithWebIdentity. O Amazon EKS e essa ação do SDK continuam alternando as credenciais temporárias, renovando-as antes que elas expirem.
Ao usar Perfis do IAM para contas de serviçoperfis do IAM do para contas de serviço, os contêineres do seu Pods devem usar uma versão do AWS SDK que ofereça suporte ao processo de assumir um perfil do IAM por meio de um arquivo de token de identidade da Web do OpenID Connect. Certifique-se de usar as seguintes versões, ou versões posteriores, do AWS SDK:
Muitos complementos populares do Kubernetes, como o Cluster Autoscaler
Para garantir que você esteja usando um SDK compatível, siga as instruções de instalação do SDK de sua preferência em Ferramentas para desenvolver na AWS
