搭IRSA配使用 AWS SDK

使用憑證

若要使用來自服務帳戶IAM角色的認證，您的程式碼可以使用 any AWS SDK 來建立具有 AWS 服務的用戶端SDK，依預設，會在一連串位置中SDK搜尋要使用的認 AWS Identity and Access Management 證。如果您在建立用戶端或以其他方式初始化時未指定認證提供者，則會使用服務帳戶認證的IAM角色SDK。

這是有效的，因為服務帳戶的IAM角色已新增為預設認證鏈中的一個步驟。如果您的工作負載目前使用認證鏈中較早的認證，則即使您為相同工作負載設定服務帳戶的IAM角色，仍會繼續使用這些認證。

AWS Security Token Service 通過使用AssumeRoleWithWebIdentity操作SDK自動將服務帳戶OIDC令牌交換為臨時憑據。Amazon EKS 和此SDK動作會繼續輪替臨時登入資料，方法是在臨時登入資料到期之前進行更新。

使用時服務帳戶的 IAM 角色，您的容器Pods必須使用支持通過 OpenID Connect Web 身份令牌文件假定IAM角色的 AWS SDK版本。請確定您使用的是下列版本或更新版本 AWS SDK：

• Java (第 2 版) – 2.10.11

• Java – 1.11.704

• Go – 1.23.13

• Python (Boto3) – 1.9.220

• Python (botocore) – 1.12.200

• AWS CLI — 1.16.232

• 節點：2.525.0 和 3.27.0

• Ruby – 3.58.0

• C++ – 1.7.174

• 。 NET— 3.659.1 — 您還必須包括. AWSSDK.SecurityToken

• PHP—

許多常用的Kubernetes附加元件，例如叢集自動配置器使用 AWS Load Balancer 控制器路由網路流、和服務帳戶的Amazon VPC CNI plugin for Kubernetes支援IAM角色。

若要確保您使用的是受支援的，請在建置容器 AWS時SDK，依照您偏好的安裝指示，SDK在建置上的 [建置於] 中依照您偏好的方式執行。