Verwendung eines unterstützten AWS-SDK - Amazon EKS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung eines unterstützten AWS-SDK

Wenn Sie IAM-Rollen für Servicekonten benutzen, müssen die Container in Ihren Pods eine AWS-SDK-Version verwenden, die die Annahme einer IAM-Rolle über eine OpenID Connect-Webidentitäts-Token-Datei unterstützt. Stellen Sie sicher, dass Sie die folgenden Versionen oder höher für Ihr AWS-SDK verwenden:

Viele beliebte Kubernetes-Add-ons wie der Cluster-Autoscaler, Was ist die AWS Load Balancer Controller? und die Amazon VPC CNI plugin for Kubernetes, unterstützen IAM-Rollen für Servicekonten.

Um sicherzustellen, dass Sie ein unterstütztes SDK verwenden, befolgen Sie die Installationsanweisungen für Ihr bevorzugtes SDK unter Tools fzum Entwickeln in AWS, wenn Sie Ihre Container entwickeln.

Verwenden von Anmeldeinformationen

Um die Anmeldeinformationen von IAM-Rollen für Servicekonten zu verwenden, kann Ihr Code ein beliebiges AWS-SDK verwenden, um einen Client für einen AWS-Service mit einem SDK zu erstellen. Standardmäßig sucht das SDK in einer Kette von Speicherorten nach zu verwendenden Anmeldeinformationen für AWS Identity and Access Management. Die IAM-Rollen für Anmeldeinformationen für Servicekonten werden verwendet, wenn Sie bei der Erstellung des Clients keinen Anmeldeinformationsanbieter angeben oder Sie das SDK anderweitig initialisiert haben.

Das funktioniert, weil IAM-Rollen für Servicekonten als Schritt in der standardmäßigen Anmeldeinformationskette hinzugefügt wurden. Wenn Ihre Workloads derzeit Anmeldeinformationen verwenden, die sich an früherer Stelle in der Anmeldeinformationskette befinden, werden diese Anmeldeinformationen auch dann weiterhin verwendet, wenn Sie IAM-Rollen für Servicekonten für dieselbe Workload konfigurieren.

Das SDK tauscht mithilfe der Aktion AssumeRoleWithWebIdentity automatisch das OIDC-Token des Servicekontos gegen temporäre Anmeldeinformationen AWS Security Token Service von aus. Amazon EKS und diese SDK-Aktion rotieren weiterhin die temporären Anmeldeinformationen, indem sie erneuert werden, bevor sie ablaufen.