協助改善此頁面
想要為此使用者指南做出貢獻? 捲動至此頁面底部,然後在 上選取編輯此頁面 GitHub。您的貢獻將幫助我們的使用者指南更適合所有人。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭IRSA配使用 AWS SDK
使用憑證
若要使用來自服務帳戶IAM角色的認證,您的程式碼可以使用 any AWS SDK 來建立具有 AWS 服務的用戶端SDK,依預設,會在一連串位置中SDK搜尋要使用的認 AWS Identity and Access Management 證。如果您在建立用戶端或以其他方式初始化時未指定認證提供者,則會使用服務帳戶認證的IAM角色SDK。
這是有效的,因為服務帳戶的IAM角色已新增為預設認證鏈中的一個步驟。如果您的工作負載目前使用認證鏈中較早的認證,則即使您為相同工作負載設定服務帳戶的IAM角色,仍會繼續使用這些認證。
AWS Security Token Service 通過使用AssumeRoleWithWebIdentity
操作SDK自動將服務帳戶OIDC令牌交換為臨時憑據。Amazon EKS 和此SDK動作會繼續輪替臨時登入資料,方法是在臨時登入資料到期之前進行更新。
使用時服務帳戶的 IAM 角色,您的容器Pods必須使用支持通過 OpenID Connect Web 身份令牌文件假定IAM角色的 AWS SDK版本。請確定您使用的是下列版本或更新版本 AWS SDK:
許多常用的Kubernetes附加元件,例如叢集自動配置器
若要確保您使用的是受支援的,請在建置容器 AWS時SDK,依照您偏好的安裝指示,SDK在建置上的 [建置