如何在 golang 中使用 kubernetes 服务帐户？

问题内容

实际上，我主要将 kubernetes 服务帐户与 nodejs 一起使用，这工作得很好，但我有一个用 go 制作的服务，但我似乎无法使其与服务帐户一起使用（我知道服务帐户是正确的）配置是因为我用 pod 测试了它）。

我正在使用这个库 https://www.php.cn/link/2ce2b048fbba1c28933b3b167650dc3d

到目前为止我尝试过这个：

  sess := session.must(session.newsession())

  creds := stscreds.newcredentials(sess, os.getenv("aws_role_arn"))

  svc := s3.new(sess, &aws.config{credentials: creds})

还有这个（以防万一）：

  region := os.getenv("amazon_region")
  sess := session.must(session.newsession(&aws.config{region: &region}))

  svc := s3.new(sess)

对于第一种情况，我收到以下错误：

AccessDenied: User: arn:aws:sts::xxxxxxxx:assumed-role/staging-worker-node/i-0xxxxxxxxx is not authorized to perform: sts:AssumeRole on resource: arn:aws:iam::xxxxxxxx:role/EKSServiceAccount-app

对于第二种情况，我遇到了一般权限错误。

我阅读了文档并尝试了更多的东西（这可能与这里无关），但我看不到让它工作，也许是因为我对 golang 没有太多经验。

正确答案

您可以尝试通过以下几种方式让 Go 服务与 Kubernetes 上的服务帐户配合使用：

验证您的 Go 服务是否已正确配置为使用 Kubernetes 服务帐户。这可以通过检查服务帐户是否正确安装为 Pod 定义中的卷以及服务是否能够从该卷读取凭据来完成。

确保您使用的 AWS SDK for Go (https://github.com /aws/aws-sdk-go) 配置为使用正确的凭证。 SDK 支持多种提供凭证的方法，包括环境变量、共享凭证文件和 IAM 角色。

您可以尝试使用 k8s.io/client-go 库代替 AWS SDK for Go，这将帮助您使用 Kubernetes 服务帐户通过 Kubernetes API 进行身份验证并获取 AWS 开发工具包所需的凭证。

如果您使用 Kubernetes 服务账户向 AWS 等外部服务进行身份验证，您可能还需要配置 IAM 角色，以允许服务账户访问必要的资源。

仔细检查您的 Go 服务是否正确使用 Kubernetes 服务账户令牌并将其作为身份验证令牌传递给 AWS 开发工具包。

您还可以尝试使用 k8s.io/client-go 库来获取秘密并在您的 go 代码中使用它。

以上是如何在 golang 中使用 kubernetes 服务帐户？的详细内容。更多信息请关注PHP中文网其他相关文章！