如何深入理解 EKS IRSA 的实现机制

最新推荐文章于 2025-09-19 07:25:09 发布
原创 最新推荐文章于 2025-09-19 07:25:09 发布 · 1.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了Amazon EKS集群中Pod的身份验证机制,特别是在使用IAM角色和服务帐户的情况下,如何生成和使用令牌访问AWS资源。详细解析了OIDC配置、STS服务的验证流程以及临时凭证的获取。

一、aws-iam-token 的生成

1.1 token 生成

我们这里使用的 AWS 完全管理的 K8s 集群 EKS,并且通过如下命令创建了 iamserviceaccount [1]

eksctl create iamserviceaccount --name alice --namespace default \
--cluster eks --attach-policy-arn arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess \
--approve  --override-existing-serviceaccounts

关于 IRSA 的一个架构图大致如下:

如何深入理解 EKS IRSA 的实现机制

在由 API Server 创建一个 pod 后,由 Self-hosted Kubernetes setup [2] 所说,由于 IRSA 是基于 Service Account 的方式进行验证,其中,产生 Token 的行为由 API Server 在启动阶段的以下相关参数决定,以下参数通过 CloudWatch 获取到 API Server 的相关启动参数:

--service-account-key-file="[/etc/kubernetes/pki/sa.pub]"
--service-account-signing-key-file=“”
--service-account-issuer="https://oidc.eks.us-east-1.amazonaws.com/id/900B62D5EA15DC82EC523AD824232853"

因为 token 其实是由 controller manager 签署,sa 的私钥在其启动参数中,所以我们查看其启动参数如下:

--service-account-private-key-file="/etc/kubernetes/pki/sa.key"

在 token 签署完成后,会触发 eks-pod-identity-webhook,由 eks-pod-identity-webhook 协助将相关的 Token 信息以 Projected Volume [3] 的形式挂在到 Pod 中,并把 iam service account 中的 role-arn 和刚刚生成的 token 注入到 Pod 的环境变量中。

我可以通过查看 Pod 的 yaml 文件查看其相关信息:

spec:
  containers:
  - command:
    - sh
    - -c
    - echo Hello Kubernetes! && sleep 360000
    env:
    - name: AWS_ROLE_ARN
      value: arn:aws:iam::921283538843:role/eksctl-eks-addon-iamserviceacc
最低0.47元/天 解锁文章
wzlinux
关注
解决EKS中KEDA访问AWS SQS权限问题:完整的IRSA配置指南
探索云原生与智能化驱动下的安全运维新范式。关注DevSecOps、可观测性、AIOps等前沿领域,与您共赴技术前沿。
08-14 254
IRSA(IAM Roles for Service Accounts)是AWS EKS提供的一种安全机制,允许Kubernetes ServiceAccount与AWS IAM角色关联,从而为Pod提供AWS服务访问权限,而无需在Pod中硬编码AWS凭证。检查EKS集群的OIDC提供程序创建IAM角色和策略配置KEDA ServiceAccount重启KEDA Operator更新ScaledObject配置验证配置。
如何签名(Presign)一个AWS S3文件
千里之行
12-17 3457
如何使用 amazon aws sdk 签名(Presign)一个S3文件
详解 ServiceAccount -- k8s的服务账号是如何工作的?
千里之行
12-17 9370
Kubernetes 的 Service Account 是如何工作的
如何从IDC使用临时安全凭证访问Amazon Secrets Manager-将Role的使用延伸到IDC?
aliyuncloud的博客
08-22 137
但是在跨账号或者跨服务的场景下,我们常常会碰到“如何授权其他 AWS 账号或者服务来访问 AWS Secrets Manager” 以及 "如何使私人数据中心(VPC)或者 IDC 服务中的 EC2 等虚拟机访问Secerets Manager"的问题。在这篇文章中,我们将通过实例和详细步骤来演示,从而解决这些问题。如果我们需要在私人数据中心(IDC)中的虚拟机实例直接访问 AWS Secrets Manager,我们也可以通过 AWS 授权策略来授权 EC2 访问 Secrets Manager。
告别密钥管理:Kaniko在AWS EKS实现无密钥容器构建的最佳实践
最新发布
gitblog_00585的博客
09-19 754
在Kubernetes环境中构建容器镜像时,密钥管理始终是运维团队面临的重大挑战。传统方案中,开发者需要在集群中存储容器 registry 的访问密钥,这不仅增加了安全风险,还带来了密钥轮换和权限管理的复杂性。本文将详细介绍如何利用AWS的IAM Roles for Service Accounts(IRSA)功能,结合Kaniko在EKS集群中实现完全无密钥的容器镜像构建流程,彻底消除密钥泄露风...
aws eks理解和使用podidentity为pod授权
zhaojiew的学习笔记
05-23 1290
理解和使用podidentity
Amazon EKS Pod Identity Webhook 使用教程
gitblog_00567的博客
09-26 443
Amazon EKS Pod Identity Webhook 使用教程 1. 项目介绍 Amazon EKS Pod Identity Webhook 是一个用于在 Amazon EKS(Elastic Kubernetes Service)集群中为 Pod 提供 AWS IAM 访问权限的工具。通过这个 Webhook,Pod 可以使用 IAM 角色来访问 AWS 服务,而无需在 Pod 中硬...
AWS IAM Authenticator and IRSA
wangzan18的博客
12-27 661
一、AWS IAM Authenticator 参考文档:https://github.com/kubernetes-sigs/aws-iam-authenticatorhttps://kubernetes.io/docs/reference/access-authn-authz/authentication/#webhook-token-authentication 二、IRSA(IAM Ro...
Amazon EKS IRSA角色集成:CDK/CloudFormation库指南
IRSA是一种安全机制,允许在EKS集群中的Pods使用IAM角色进行权限管理,从而更好地控制和管理集群内部的访问权限。" 知识点详细说明: 1. Amazon EKS IAM角色: - EKS(Elastic Kubernetes Service)是亚马逊提供...
深入理解EKS:用Go语言实现的Kubernetes CI/CD示例服务
在提供的文件信息中,涉及到了几个关键的IT知识点,分别是“EKS(Elastic Kubernetes Service)”、“CI/CD管道”、“Dockerfile和Go应用程序的构建过程”以及“Kubernetes服务配置”。我们将详细探讨这些知识点: ...
深入了解EKS集群:成本估算、常见错误与创建指南
### 深入了解 EKS 集群:成本估算、常见错误与创建指南 #### 1. EKS 定价模型 EKS 集群的运行会产生两种类型的成本:固定的控制平面成本和可变的计算、网络及存储资源成本。 - **固定控制平面成本**:控制平面定价...
AWS Secret Sidecar Injector 项目教程
gitblog_00039的博客
06-24 398
AWS Secret Sidecar Injector 项目教程 1. 项目介绍 AWS Secret Sidecar Injector 是一个 Kubernetes 的变异 Webhook,用于从 AWS Secrets Manager 获取密钥。该项目通过 Kubernetes 动态准入控制器,在 Pod 创建或更新时注入一个初始容器 aws-secrets-manager-secret-si...
Amazon Elastic Kubernetes Service (EKS)
HaoHao_010的博客
02-05 1385
Amazon Elastic Kubernetes Service (EKS) 是一个功能强大且易于管理的 Kubernetes 托管服务,提供了高可用性、安全性、自动化和扩展性,使得用户可以在 AWS 环境中高效地运行和管理 Kubernetes 集群。通过集成 AWS 的其他服务,EKS 使容器化应用的管理变得更加简单和智能,非常适合运行大规模的容器化应用,支持现代化的开发与运维实践。
EKS 训练营-IRSA(6)
wangzan18的博客
06-10 467
# 介绍 【说明】:支持 K8s 1.12 以上的版本。AWS 的 eks 通过一个公开的 OIDC(Open ID Connect Provider)支持细粒度的权限管理和控制(在OIDC里面,通过 STS 去 take IAM Role 来实现)。 有关 EKS IRSA 实现原理,请参考我的博文 https://blog.51cto.com/wzlinux/2463715 # 创建和配...
kube-apiserver启动命令参数解释
小云的博客
03-07 4257
在apiserver启动时候会有很多参数来配置启动命令,有些时候不是很明白这些参数具体指的是什么意思。我的kube-apiserver启动命令参数:cat > /usr/lib/sy...
kubernetes apiserver 报错 service-account-issuer is a required flag
leenhem的博客
06-16 2619
k8s kube-apiserver 启动报错 k8s 版本 1.24 根据报错提示 说的是是一个必须的参数我们来看一下这个参数是干啥的服务帐号令牌颁发者的标识符。 颁发者将在已办法令牌的 “iss” 声明中检查此标识符。 此值为字符串或 URI。 如果根据 OpenID Discovery 1.0 规范检查此选项不是有效的 URI,则即使特性门控设置为 true, ServiceAccountIssuerDiscovery 功能也将保持禁用状态。 强烈建议该值符合 OpenID 规范: https://
【错误解决】kubernetes 1.21.10 apiserver报错 Error: [service-account-issuer is a required flag
weixin_42072280的博客
03-11 5232
报错日志 Error: [service-account-issuer is a required flag, --service-account-signing-key-file and --service-account-issuer are required flags] 解决办法 生成sa证书和pub cat<<EOF > /root/k8s/certs/sa-csr.json { "CN":"sa", "key":{ "algo":"rsa",
kubernetes-2-搭建k8s集群
文杰的博客
06-03 907
二、搭建k8s集群 2.1 平台规划 1.单master集群 2.多master集群(高可用集群) 2.2 服务器硬件要求 2.3 部署方式 2.3.1. Kubeadm工具安装 官方的部署k8s工具, 用于快速部署 第一、创建一个 Master 节点 kubeadm init 第二、将 Node 节点加入到当前集群中 $ kubeadm join <Master 节点的 IP 和端口 > 1. 前置条件 一台或多台机器,操作系统 CentOS7.x-86_x64 硬件配置:
K8S集群安全机制
weixin_45541397的博客
08-27 1006
由于API-Server 是 Kubernetes 集群数据的唯一访问入口,任一 Kubernetes API 的访问都属于以下三种方式之一:以证书方式访问的普通用户或进程,包括运维人员及 kubectl、 kubelet 等进程以 Service Account 方式访问的 Kubernetes 的内部服务进程以匿名方式访问的进程两种用户账号集群内部的 Service-Account,但它并不是给 Kubernetes 集群的用户(系统管理员、 运维人员、租户用户等)用的,而是给运行在 Pod 里的进程用
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值