Как правило, вы хотите применить некоторый уровень логики, чтобы позволить самим модулям получать учетные данные IAM из STS.AWS в настоящее время (его re: Invent сейчас, так что вы никогда не знаете) не предоставляет родной способ сделать это.Мы внедрили два решения сообщества:
kube2IAM: https://github.com/jtblin/kube2iam
kIAM: https://github.com/uswitch/kiam
По моему опыту, оба хорошо работают в производственных / больших средах.Я предпочитаю модель безопасности KIAM, но обе они выполняют свою работу.
По сути, работа выполняется одинаковым образом: перехват (из-за отсутствия лучшего слова) связи между б / т библиотеками SDK в контейнере и STSсопоставление идентификатора модуля со словарем внутренней роли, а затем получение учетных данных STS для этой роли и передача этих кредитов обратно в контейнер.SDK по своей сути не знает, что находится в контейнере, он просто делает то, что он делает где угодно ... обходя дерево доступа, пока не увидит необходимость получать кредиты от STS и получать их.