すべてのプロダクト
Search

このプロダクト

    Container Service for Kubernetes:ack-pod-identity-webhook コンポーネントの概要と変更履歴

    ドキュメントセンター

    Container Service for Kubernetes:ack-pod-identity-webhook コンポーネントの概要と変更履歴

    最終更新日:Dec 17, 2025

    ack-pod-identity-webhook は、アプリケーションにパスワードレスアクセスと Pod の権限隔離を提供する重要なコンポーネントです。このトピックでは、ack-pod-identity-webhook コンポーネント、その使用方法、および変更履歴について説明します。

    コンポーネントの概要

    ack-pod-identity-webhook コンポーネントは、Kubernetes の MutatingAdmissionWebhook メカニズムを使用します。このコンポーネントは、Container Service for Kubernetes (ACK) が提供する RAM Roles for Service Accounts (RRSA) 機能の使用を簡素化します。必要な OpenID Connect (OIDC) トークンのマウントと環境変数の設定をアプリケーション Pod に自動的にインジェクトします。これにより、複雑な手動設定が不要になります。

    使用方法

    ack-pod-identity-webhook は RRSA の設定を自動化します。これにより、Pod は直接 RAM ロールを偽装でき、Pod レベルでクラウドリソースに対する安全でパスワードレス、かつ詳細な権限管理ソリューションを提供します。詳細については、「RRSA を使用して ServiceAccount の RAM 権限を設定し、Pod の権限隔離を実装する」をご参照ください。

    カスタム設定

    ack-pod-identity-webhook コンポーネントのカスタム設定には、コンポーネント、名前空間、サービスアカウント、および Pod の設定が含まれます。

    コンポーネント設定

    パラメーター

    タイプ

    説明

    AutoInjectSTSEnvVars

    boolean

    デフォルトで STS 関連の環境変数を Pod にインジェクトする機能を有効にするかどうかを指定します。

    • true:機能を有効にします。

    • false:機能を無効にします。

    説明

    このパラメーターは、バージョン 0.4.0 以降でのみサポートされます。

    名前空間の設定

    パラメーター

    タイプ

    説明

    pod-identity.alibabacloud.com/injection

    ラベル

    この名前空間内の Pod に対する自動設定インジェクションを有効にするかどうかを指定します。

    • 値が on の場合、名前空間レベルでの自動設定インジェクションが有効になります。

    • このラベルが設定されていないか、別の値に設定されている場合、名前空間レベルでの自動設定インジェクションは無効になります。

    apiVersion: v1
kind: Namespace
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

    サービスアカウントの設定

    パラメーター

    タイプ

    説明

    pod-identity.alibabacloud.com/role-name

    アノテーション

    このサービスアカウントに関連付けられている RAM ロールの名前。この設定項目が設定されていないか、その値が有効な RAM ロール名でない場合、このサービスアカウントを使用する Pod には設定が自動的にインジェクトされません。

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/role-name: test-role

    pod-identity.alibabacloud.com/service-account-token-expiration

    アノテーション

    このサービスアカウントを使用する Pod にマウントされる OIDC トークンの有効期間を指定します。

    有効値:600~43200。単位:秒。

    デフォルト値は 3600 です。無効な値を指定した場合、デフォルト値の 3600 が使用されます。

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

    pod-identity.alibabacloud.com/inject-sts-endpoint

    アノテーション

    このサービスアカウントを使用する Pod に ALIBABA_CLOUD_STS_ENDPOINT 環境変数をインジェクトするかどうかを指定します。

    • 値が on の場合、この環境変数のインジェクションが有効になります。

    • このアノテーションが設定されていないか、別の値に設定されている場合、この環境変数のインジェクションは無効になります。

    説明

    このパラメーターは、バージョン 0.3.0 以降でのみサポートされます。

    apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/inject-sts-endpoint: 'on'

    Pod の設定

    パラメーター

    タイプ

    説明

    pod-identity.alibabacloud.com/injection

    ラベル

    この Pod の自動設定インジェクションを有効にするかどうかを指定します。

    • 値が on の場合、自動設定インジェクションが有効になります。

    • このラベルが設定されていないか、別の値に設定されている場合、自動設定インジェクションを有効にするかどうかは名前空間の設定によって決まります。

    説明

    このパラメーターは、バージョン 0.2.0 以降でのみサポートされます。

    apiVersion: v1
kind: Pod
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

    pod-identity.alibabacloud.com/service-account-token-expiration

    アノテーション

    この Pod にマウントされる OIDC トークンの有効期間を指定します。

    有効値:600~43200。単位:秒。

    デフォルト値は 3600 です。無効な値を指定した場合、デフォルト値の 3600 が使用されます。

    説明

    この設定項目がサービスアカウントと Pod の両方に存在する場合、サービスアカウントの設定は無視されます。

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

    pod-identity.alibabacloud.com/only-containers

    アノテーション

    自動設定インジェクションを Pod 内の特定のコンテナーに制限します。複数のコンテナー名を区切るには、カンマ (,) を使用します。

    この設定項目が設定されていない場合、設定は Pod 内のすべてのコンテナーに自動的にインジェクトされます。

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/only-containers: 'controller,test'

    pod-identity.alibabacloud.com/skip-containers

    アノテーション

    特定のコンテナーへの自動設定インジェクションを防止します。複数のコンテナー名を区切るには、カンマ (,) を使用します。

    説明

    コンテナー名が pod-identity.alibabacloud.com/only-containerspod-identity.alibabacloud.com/skip-containers の両方の設定で指定されている場合、pod-identity.alibabacloud.com/only-containers の設定は無視されます。

    apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/skip-containers: 'controller,test'

    変更履歴

    2025年11月

    バージョン番号

    レジストリアドレス

    変更日時

    変更内容

    影響

    0.4.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.0

    2025年11月24日

    • デフォルトで STS 関連の環境変数 (ALIBABA_CLOUD_STS_ENDPOINTALIBABA_CLOUD_STS_REGIONALIBABA_CLOUD_VPC_ENDPOINT_ENABLED) を Pod にインジェクトするサポートを追加しました。

      この機能は、コンポーネント設定項目 AutoInjectSTSEnvVarsfalse に設定することで無効にできます。

    • コンポーネントが使用する Golang のバージョンを 1.24.10 にアップグレードし、コンポーネントの安定性を向上させました。

    コンポーネントのアップグレードに異常が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間帯にアップグレードを実行してください。

    2025 年 9 月

    バージョン番号

    レジストリアドレス

    変更時間

    変更内容

    影響

    0.3.1

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1

    2025年9月8日

    コンポーネントが使用する Golang のバージョンを 1.24.6 にアップグレードし、コンポーネントの安定性を向上させました。

    コンポーネントのアップグレードに異常が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間帯にアップグレードを実行してください。

    2025 年 6 月

    バージョン番号

    レジストリアドレス

    変更時間

    変更内容

    影響

    0.3.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun

    2025年6月6日

    ServiceAccount に pod-identity.alibabacloud.com/inject-sts-endpoint を設定して、ALIBABA_CLOUD_STS_ENDPOINT 環境変数を Pod にインジェクトできるようにするサポートを追加しました。

    コンポーネントのアップグレードに異常が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間帯にアップグレードを実行してください。

    2025 年 3 月

    バージョン番号

    レジストリアドレス

    変更時間

    変更内容

    影響

    0.2.1

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun

    2025 年 3 月 18 日

    コンポーネントが使用する Golang のバージョンを 1.23.7 にアップグレードし、コンポーネントの安定性を向上させました。

    コンポーネントのアップグレードに異常が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間帯にアップグレードを実行してください。

    2024 年 12 月

    バージョン番号

    レジストリアドレス

    変更時間

    変更内容

    影響

    0.2.0

    registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun

    2024 年 12 月 19 日

    • Pod に pod-identity.alibabacloud.com/injection: 'on' ラベルを追加して設定インジェクションを有効にするサポートを追加しました。

    • Kubernetes 1.32 のサポートを最適化しました。

    コンポーネントのアップグレードに異常が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間帯にアップグレードを実行してください。

    2023 年 6 月

    バージョン番号

    レジストリアドレス

    変更時間

    変更内容

    変更による影響

    0.1.1

    registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun

    2023年6月7日

    Serverless Kubernetes (ASK) クラスターとのコンポーネントの互換性を強化しました。

    コンポーネントのアップグレードに異常が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間帯にアップグレードを実行してください。

    2023 年 2 月

    バージョン番号

    レジストリアドレス

    変更時間

    変更内容

    影響

    0.1.0

    registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun

    2023年2月1日

    アプリケーション Pod に OIDC トークンを自動的にマウントし、環境変数を設定する機能を実装しました。

    初回リリース。