Ajudar a melhorar esta página
Quer contribuir para este guia do usuário? Role até o final desta página e selecione Editar esta página no GitHub. Suas contribuições ajudarão a tornar nosso guia do usuário melhor para todos.
Usar o IRSA com o AWS SDK
Usar as credenciais
Para usar as credenciais de perfis do IAM para contas de serviço, seu código pode usar qualquer AWS SDK para criar um cliente para um serviço da AWS com um SDK e, por padrão, o SDK pesquisa em uma cadeia de locais as credenciais do AWS Identity and Access Management a serem usadas. As credenciais do perfis do IAM para contas de serviço serão usadas se você não especificar um provedor de credenciais ao criar o cliente ou ao inicializar o SDK.
Isso funciona porque os perfis do IAM para contas de serviço foram adicionados como uma etapa na cadeia de credenciais padrão. Se suas workloads usam no momento credenciais mais antigas na cadeia de credenciais, essas credenciais continuarão sendo usadas mesmo se você configurar perfis do IAM para contas de serviço para a mesma workload.
O SDK troca automaticamente o token OIDC da conta de serviço por credenciais temporárias do AWS Security Token Service usando a ação AssumeRoleWithWebIdentity
. O Amazon EKS e essa ação do SDK continuam alternando as credenciais temporárias, renovando-as antes que elas expirem.
Ao usar Perfis do IAM para contas de serviço, os contêineres nos Pods devem usar uma versão do AWS SDK compatível com o recurso de assumir um perfil do IAM por meio de um arquivo de token de identidade de Web OpenID Connect. Certifique-se de usar as seguintes versões, ou versões posteriores, do AWS SDK:
Muitos complementos populares do Kubernetes, como o Cluster Autoscaler
Para garantir que você esteja usando um SDK compatível, siga as instruções de instalação do SDK de sua preferência em Ferramentas para desenvolver na AWS