是否可以将Kubernetes SetviceAccount令牌配置为过期?在documentation these tokens are JWT之后(因为我也可以使用JWT debugger对其进行检查)。 Following the specification JWT specifies expiration,但到目前为止,我还无法确定如何说服Kubernetes使用此标头创建令牌。
有什么想法吗?
答案 0 :(得分:2)
当前,Kubernetes中的默认服务帐户JWT令牌被视为“永久”令牌。它们不会过期,并且只要服务帐户存在就有效。我担心从Kubernetes方面不可能或不可能实现您的目标。
我将这个答案发布为社区Wiki。如果您知道如何从另一侧着手,请随时进行扩展。
我希望这会有所帮助。
答案 1 :(得分:1)
在文档here中,您可以使用expirationSeconds设置JWT令牌的到期时间。无法在默认服务帐户令牌上配置此属性。
apiVersion: v1
kind: Pod
metadata:
name: nginx
spec:
containers:
- image: nginx
name: nginx
volumeMounts:
- mountPath: /var/run/secrets/tokens
name: vault-token
serviceAccountName: build-robot
volumes:
- name: vault-token
projected:
sources:
- serviceAccountToken:
path: vault-token
expirationSeconds: 7200
audience: vault