使用支援的 AWS 開發套件

使用時服務帳戶的 IAM 角色，您的容器Pods必須使用支援透過 OpenID Connect Web 身分權杖檔案假設 IAM 角色的 AWS SDK 版本。請確定您的 AWS SDK 使用下列版本或更新版本：

• Java (第 2 版) – 2.10.11

• Java – 1.11.704

• Go – 1.23.13

• Python (Boto3) – 1.9.220

• Python (botocore) – 1.12.200

• AWS CLI — 1.16.232

• 節點：2.525.0 和 3.27.0

• Ruby – 3.58.0

• C++ – 1.7.174

• .NET：3.3.659.1 – 您也必須包含 AWSSDK.SecurityToken。

• PHP – 3.110.7

許多熱門的 Kubernetes 附加元件，例如 Cluster Autoscaler、什麼是 AWS Load Balancer Controller？ 和 Amazon VPC CNI plugin for Kubernetes，皆支援服務帳戶的 IAM 角色。

為了確保您使用支援的開發套件，在建立您的容器時，請遵循在 AWS上建立的工具中您偏好開發套件的安裝指示。

使用憑證

若要將 IAM 角色的登入資料用於服務帳戶，您的程式碼可以使用任何 AWS SDK 為具有 SDK 的 AWS 服務建立用戶端，依預設，SDK 會在一連串位置中搜尋要使用的認 AWS Identity and Access Management 證。如果您在建立用戶端或以其他方式初始化 SDK 時未指定憑證提供者，則系統會使用服務帳戶憑證的 IAM 角色。

這樣是有效的，因為服務帳戶的 IAM 角色已新增為預設憑證鏈中的一個步驟。如果您的工作負載目前使用憑證鏈中較早的憑證，那麼即使您為相同工作負載設定服務帳戶的 IAM 角色，系統仍會繼續使用這些憑證。

SDK 會 AWS Security Token Service 透過使用動AssumeRoleWithWebIdentity作，自動將服務帳戶OIDC權杖交換為暫時認證。Amazon EKS 和此 SDK 動作會繼續輪換臨時憑證，方法是在臨時憑證到期前進行更新。