如何从EKS内部配置凭据以使用AWS服务。我不能将AWS开发工具包用于此特定目的。我已经在yaml文件中提到了一个具有必需权限的角色,但似乎并没有选择该角色。
谢谢 任何帮助表示赞赏。
答案 0 :(得分:1)
通常,您希望应用某种级别的逻辑以允许Pod本身从STS获取IAM凭据。 AWS当前(它现在是re:Invent,所以您永远都不知道)目前没有提供本机方式。我们已实现的两个社区解决方案是:
kube2IAM:https://github.com/jtblin/kube2iam
kIAM:https://github.com/uswitch/kiam
以我的经验,两者在生产/大型环境中都能很好地工作。我更喜欢kIAM的安全模型,但两者都能完成工作。
基本上以相同的基本方法进行工作...拦截容器和STS中的SDK库(由于缺少更好的单词),将pod的身份与内部角色字典进行匹配,然后获取STS该角色的凭据并将这些凭据交还给容器。 SDK并不是天生就知道它在容器中,只是在做它在任何地方所做的事情……遍历它的访问树,直到看到需要从STS获得证书并接收它们为止。