Red Hat Summit9.2. Comment les comptes de service assument les rôles AWS IAM dans les projets définis par l’utilisateur
Lorsque vous installez un service Red Hat OpenShift sur le cluster AWS qui utilise le service de jetons de sécurité AWS (STS), les ressources de webhook d’identité de pod sont incluses par défaut.
Le webhook d’identité de pod permet d’activer un compte de service dans un projet défini par l’utilisateur pour assumer un rôle AWS Identity and Access Management (IAM) dans un pod dans le même projet. Lorsque le rôle IAM est assumé, des informations d’identification STS temporaires sont fournies pour utilisation par le compte de service dans la pod. Lorsque le rôle assumé dispose des privilèges AWS nécessaires, le compte de service peut exécuter les opérations SDK AWS dans la pod.
Afin d’activer le webhook d’identité de pod pour un pod, vous devez créer un compte de service avec un eks.amazonaws.com/role-arn annotation dans votre projet. L’annotation doit faire référence au nom de ressource Amazon (ARN) du rôle AWS IAM que vous souhaitez que le compte de service assume. Il faut également faire référence au compte de service dans votre spécification Pod et déployer le pod dans le même projet que le compte de service.
Flux de travail webhook d’identité pod dans les projets définis par l’utilisateur
Le diagramme suivant illustre le flux de travail webhook d’identité pod dans les projets définis par l’utilisateur:
Figure 9.2. Flux de travail webhook d’identité pod dans les projets définis par l’utilisateur
Le flux de travail comporte les étapes suivantes:
- Dans un projet défini par l’utilisateur, un utilisateur crée un compte de service qui inclut une annotation eks.amazonaws.com/role-arn. L’annotation indique l’ARN du rôle AWS IAM que vous souhaitez que votre compte de service assume.
Lorsqu’un pod est déployé dans le même projet à l’aide d’une configuration qui fait référence au compte de service annoté, le webhook d’identité de pod mute le pod. La mutation injecte les composants suivants dans le pod sans avoir besoin de les spécifier dans vos configurations de ressources Pod ou Deployment:
- La variable d’environnement $AWS_ARN_ROLE qui contient l’ARN pour le rôle IAM qui a les autorisations requises pour exécuter les opérations SDK AWS.
- La variable d’environnement $AWS_WEB_IDENTITY_TOKEN_FILE qui contient le chemin complet dans le pod vers le jeton OpenID Connect (OIDC) pour le compte de service. Le chemin complet est /var/run/secrets/eks.amazonaws.com/serviceaccount/token.
- Aws-iam-token volume monté sur le point de montage /var/run/secrets/eks.amazonaws.com/serviceaccount. Le volume contient un fichier de jetons OIDC nommé token.
Le jeton OIDC est transmis du pod au fournisseur OIDC. Le fournisseur authentifie l’identité du compte de service si les exigences suivantes sont remplies:
- La signature d’identité est valide et signée par la clé privée.
L’audience sts.amazonaws.com est listée dans le jeton OIDC et correspond à l’audience configurée dans le fournisseur OIDC.
NoteLe webhook d’identité de pod applique l’audience sts.amazonaws.com au jeton OIDC par défaut.
Dans Red Hat OpenShift Service sur AWS avec des clusters STS, le fournisseur OIDC est créé lors de l’installation et défini comme émetteur de compte de service par défaut. L’audience sts.amazonaws.com est définie par défaut dans le fournisseur OIDC.
- Le jeton OIDC n’a pas expiré.
- La valeur de l’émetteur dans le jeton contient l’URL pour le fournisseur OIDC.
- Lorsque le compte de projet et de service est dans le champ d’application de la politique de confiance pour le rôle de l’IAM qui est assumé, l’autorisation réussit.
- Après authentification et autorisation réussies, les informations d’identification AWS STS temporaires sous la forme d’un jeton de session sont transmises à la pod pour utilisation par le compte de service. En utilisant les informations d’identification, le compte de service reçoit temporairement les autorisations AWS activées dans le rôle IAM.
- Lorsque vous exécutez des opérations SDK AWS dans la pod, le compte de service fournit les informations d’identification STS temporaires à l’API AWS pour vérifier son identité.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}