apiVersion: v1
kind: Pod
metadata:
name: nginx
spec:
securityContext:
runAsNonRoot: true (1)
seccompProfile:
type: RuntimeDefault (2)
containers:
- image: nginx
name: nginx
volumeMounts:
- mountPath: /var/run/secrets/tokens
name: vault-token
securityContext:
allowPrivilegeEscalation: false
capabilities:
drop: [ALL]
serviceAccountName: build-robot (3)
volumes:
- name: vault-token
projected:
sources:
- serviceAccountToken:
path: vault-token (4)
expirationSeconds: 7200 (5)
audience: vault (6)- 文档
- Red Hat OpenShift Service on AWS
- 身份验证和授权
- 使用绑定服务帐户令牌 history bug_report picture_as_pdf
OpenShift 文档正在迁移,很快将仅在 docs.redhat.com(所有 Red Hat 产品文档的所在地)提供。立即体验 新的文档体验。
- 关于
- 新增功能
- ROSA 简介
- 架构
- 教程
- 教程概述
- ROSA 与 HCP 激活和帐户链接
- ROSA 与 HCP 私有产品接受和共享
- 验证 ROSA STS 部署的权限
- 使用自定义 DNS 解析器部署 ROSA
- 使用 AWS WAF 和 Amazon CloudFront 保护 ROSA 工作负载
- 使用 AWS WAF 和 AWS ALBs 保护 ROSA 工作负载
- 在 ROSA 集群上部署用于数据保护的 OpenShift API
- ROSA 上的 AWS Load Balancer Operator
- 配置 Microsoft Entra ID(以前称为 Azure Active Directory)作为身份提供程序
- 在 ROSA 与 STS 上使用 AWS Secrets Manager CSI
- 在 ROSA 上使用 AWS Controllers for Kubernetes
- 在 ROSA 上部署 External DNS Operator
- 使用 cert-manager Operator 在 ROSA 上动态颁发证书
- 为外部流量分配一致的出口 IP
- 使用自定义域名和 TLS 证书更新组件路由
- ROSA 入门
- 部署应用程序
- 入门
- 准备您的环境
- 安装 ROSA 与 HCP 集群
- 安装 ROSA Classic 集群
- 支持
- Web 控制台
- CLI 工具
- Red Hat OpenShift 集群管理器
- 集群管理
- 安全和合规性
- 身份验证和授权
- 升级
- CI/CD
- 镜像
- 附加服务
- 存储
- 注册表
- Operators
- Operators 概述
- 了解 Operators
- 用户任务
- 管理员任务
- 开发Operator
- 网络
- 构建应用程序
- 备份和恢复
- 节点
- 可观测性
- 服务网格
- 无服务器
- 虚拟化
×
使用绑定服务帐户令牌
您可以使用绑定服务帐户令牌,这提高了与云提供商身份访问管理 (IAM) 服务(例如AWS上的Red Hat OpenShift Service on AWS IAM或Google Cloud Platform IAM)集成的能力。
关于绑定服务帐户令牌
您可以使用绑定服务帐户令牌来限制给定服务帐户令牌的权限范围。这些令牌是受众和时间约束的。这有助于对服务帐户进行IAM角色身份验证以及生成挂载到Pod的临时凭据。您可以使用卷投影和TokenRequest API请求绑定服务帐户令牌。
使用卷投影配置绑定服务帐户令牌
您可以使用卷投影配置Pod以请求绑定服务帐户令牌。
先决条件
-
您可以作为具有`dedicated-admin`角色的用户访问集群。
-
您已创建一个服务帐户。此过程假设服务帐户名为`build-robot`。
步骤
-
配置Pod以使用卷投影使用绑定服务帐户令牌。
-
创建一个名为`pod-projected-svc-token.yaml`的文件,内容如下:
1 防止容器以root用户身份运行,以最大限度地降低受损风险。 2 设置默认seccomp配置文件,限制为必要的系统调用,以降低风险。 3 对现有服务帐户的引用。 4 相对于挂载点将令牌投影到的文件的路径。 5 可选地设置服务帐户令牌的过期时间(以秒为单位)。默认值为3600秒(1小时),此值必须至少为600秒(10分钟)。如果令牌的剩余时间少于其生存时间的80%,或者令牌超过24小时,则kubelet将尝试旋转令牌。 6 可选地设置令牌的目标受众。令牌的接收者应验证接收者身份是否与令牌的受众声明匹配,否则应拒绝令牌。受众默认为API服务器的标识符。 为了防止意外故障,AWS上的Red Hat OpenShift Service 将`expirationSeconds`值覆盖为从初始令牌生成起的一年,其`--service-account-extend-token-expiration`默认为`true`。您无法更改此设置。
-
创建Pod
$ oc create -f pod-projected-svc-token.yamlkubelet代表Pod请求并存储令牌,使Pod能够在可配置的文件路径访问令牌,并在令牌接近过期时刷新令牌。
-
-
使用绑定令牌的应用程序必须在令牌旋转时处理令牌的重新加载。
如果令牌的剩余时间少于其生存时间的80%,或者令牌超过24小时,则kubelet将旋转令牌。
在Pod外部创建绑定服务帐户令牌
先决条件
-
您已创建一个服务帐户。此过程假设服务帐户名为`build-robot`。
步骤
-
通过运行以下命令在Pod外部创建绑定服务帐户令牌:
$ oc create token build-robot示例输出eyJhbGciOiJSUzI1NiIsImtpZCI6IkY2M1N4MHRvc2xFNnFSQlA4eG9GYzVPdnN3NkhIV0tRWmFrUDRNcWx4S0kifQ.eyJhdWQiOlsiaHR0cHM6Ly9pc3N1ZXIyLnRlc3QuY29tIiwiaHR0cHM6Ly9pc3N1ZXIxLnRlc3QuY29tIiwiaHR0cHM6Ly9rdWJlcm5ldGVzLmRlZmF1bHQuc3ZjIl0sImV4cCI6MTY3OTU0MzgzMCwiaWF0IjoxNjc5NTQwMjMwLCJpc3MiOiJodHRwczovL2lzc3VlcjIudGVzdC5jb20iLCJrdWJlcm5ldGVzLmlvIjp7Im5hbWVzcGFjZSI6ImRlZmF1bHQiLCJzZXJ2aWNlYWNjb3VudCI6eyJuYW1lIjoidGVzdC1zYSIsInVpZCI6ImM3ZjA4MjkwLWIzOTUtNGM4NC04NjI4LTMzMTM1NTVhNWY1OSJ9fSwibmJmIjoxNjc5NTQwMjMwLCJzdWIiOiJzeXN0ZW06c2VydmljZWFjY291bnQ6ZGVmYXVsdDp0ZXN0LXNhIn0.WyAOPvh1BFMUl3LNhBCrQeaB5wSynbnCfojWuNNPSilT4YvFnKibxwREwmzHpV4LO1xOFZHSi6bXBOmG_o-m0XNDYL3FrGHd65mymiFyluztxa2lgHVxjw5reIV5ZLgNSol3Y8bJqQqmNg3rtQQWRML2kpJBXdDHNww0E5XOypmffYkfkadli8lN5QQD-MhsCbiAF8waCYs8bj6V6Y7uUKTcxee8sCjiRMVtXKjQtooERKm-CH_p57wxCljIBeM89VdaR51NJGued4hVV5lxvVrYZFu89lBEAq4oyQN_d6N1vBWGXQMyoihnt_fQjn-NfnlJWk-3NSZDIluDJAv7e-MTEk3geDrHVQKNEzDei2-Un64hSzb-n1g1M0Vn0885wQBQAePC9UlZm8YZlMNk1tq6wIUKQTMv3HPfi5HtBRqVc2eVs0EfMX4-x-PHhPCasJ6qLJWyj6DvyQ08dP4DW_TWZVGvKlmId0hzwpg59TTcLR0iCklSEJgAVEEd13Aa_M0-faD11L3MhUGxw0qxgOsPczdXUsolSISbefs7OKymzFSIkTAn9sDQ8PHMOsuyxsK8vzfrR-E0z7MAeguZ2kaIY7cZqbN6WFy0caWgx46hrKem9vCKALefElRYbCg3hcBmowBcRTOqaFHLNnHghhU1LaRpoFzH7OUarqX9SGQ
其他资源