容器服务
容器服务
容器服务
文档指南
请输入
容器服务 VKE
产品动态
Kubernetes 版本发布记录
组件发布记录
监控组件
DNS 组件
GPU 组件
安全公告
产品公告
用户指南
集群
节点池
授权
IAM 用户权限
RBAC 权限
IRSA 机制
网络
容器网络
服务(Service)
路由(Ingress)
ALB Ingress
CLB Ingress
Nginx Ingress
APIG Ingress
域名解析(DNS)
工作负载
存储管理
对象存储(TOS)
文件存储(NAS)
FSX 访问方式
弹性文件存储(EFS)
文件存储(vePFS)
vePFS Client 访问方式
NFS 访问方式
大数据文件存储(CloudFS)
弹性伸缩
工作负载弹性伸缩
事件驱动伸缩(KEDA)
异构计算
可观测性
通过 Terraform 使用容器服务
最佳实践
AI 应用
网络
可观测性
解决方案
API 参考
集群管理
节点池管理
组件管理
弹性容器实例
附录
开发指南
常见问题
通用 FAQ
集群 FAQ
集群管理
节点与节点池 FAQ
授权 FAQ
工作负载 FAQ
服务与路由 FAQ
存储 FAQ
弹性伸缩 FAQ
调度 FAQ
可观测性 FAQ
配额 FAQ
组件 FAQ
容器镜像 FAQ
AI 云原生
推理套件
Helm 模板 AI 应用
Deepseek 实践
Qwen 实践
弹性容器实例 VCI
最新动态
用户指南
虚拟节点
VKE 集群使用虚拟节点
自建/跨云集群使用虚拟节点
创建 VCI 实例
- 文档首页
容器服务容器服务 VKE用户指南授权IRSA 机制IRSA 概述
IRSA 概述
文档反馈
问问助手容器服务(VKE)联合访问控制(IAM)提供 IRSA (IAM Role for Service Account) 机制,支持基于 VKE 实现细粒度 Pod 级别权限隔离的能力。
背景信息 #
通常情况下,VKE 集群内的应用,通过如下方法访问火山引擎其他云资源:
- 通过实例元数据获取实例绑定的 IAM 角色的安全令牌(STS Token),并使用 STS Token 访问云资源 OpenAPI。实例元数据信息,请参见 ECS 实例元数据、VCI 实例元数据。
说明
VKE 集群基于云服务器(ECS)和弹性容器实例(VCI)构建,ECS 实例和 VCI 实例的元数据中包含了实例在火山引擎云平台的基本信息。
- 直接使用火山引擎子用户或角色申请的长期访问秘钥(Access Key)进行访问。
上述两种访问方式都存在较大安全风险,并且难以在集群内做不同应用之间的权限区分,因此 VKE 提供了 IRSA 方案,帮助用户在集群内实现 Pod 级别隔离的应用关联 IAM 角色功能。
功能介绍 #
IRSA 是一种安全机制,允许 VKE 集群中的应用通过 Kubernetes Service Accounts (服务账号) 来使用火山引擎 IAM 角色。IRSA 机制将特定的 IAM 角色与服务账号关联,从而使得运行在 VKE 集群中的 Pod 能够通过该服务账号继承 IAM 角色的权限,访问各类云产品资源。
IRSA 功能的工作流程如下:
- 用户启动一个使用服务账号令牌投射的 Pod。相关说明,请参见 Kubernetes 文档:为 Pod 配置服务账号。
- 集群 API Server 为该 Pod 颁发使用 OIDC 身份生产的 Token(即 OIDC Token),kubelet 为该 Pod 挂载 OIDC Token 并定时刷新。
- Pod 内程序使用挂载的 OIDC Token 文件访问 STS 服务的 AssumeRoleWithOIDC 接口,获取扮演指定 IAM 角色的临时凭证。
- Pod 内程序使用获取到的临时凭证访问火山引擎其他云资源 OpenAPI。
功能优势 #
IRSA 机制具有如下关键优势:
- 最小权限原则:通过为每个服务账号分配具体的 IAM 角色,可以精细化控制服务的权限,确保服务只能访问所需的云产品资源,有助于提升业务安全性,遵守最小权限原则。
- 安全性:IRSA 减少了需要在应用程序代码或容器镜像中硬编码访问凭证的需要,从而降低了潜在的安全风险。
- 管理简便:通过 Kubernetes 的服务账号来管理对云产品资源的访问权限,可以简化权限管理流程,使得权限管理更加集中和一致。
最近更新时间:2025.06.03 11:25:39
这个页面对您有帮助吗?
有用
有用
无用
无用