Pod に OIDC トークンを自動的にインジェクトし、Pod ごとのパスワードレスな RAM ロールアクセスを実現します。
概要
ack-pod-identity-webhook は、Kubernetes の MutatingAdmissionWebhook メカニズムを使用して、Container Service for Kubernetes (ACK) の RAM Roles for Service Accounts (RRSA) を簡素化します。アプリケーション Pod に OIDC トークンのボリュームマウントと環境変数を自動的にインジェクトすることで、手動での設定が不要になります。
使用方法
ack-pod-identity-webhook は RRSA 設定を自動化し、Pod が直接 RAM ロールを引き受けられるようにします。これにより、Pod ごとのパスワードレスな権限隔離が実現します。詳細については、「サービスアカウントのRRSAを設定してPod間の権限を分離する」をご参照ください。
カスタム設定
ack-pod-identity-webhook は、コンポーネント、Namespace、ServiceAccount、Pod の各レベルでカスタマイズできます。
コンポーネント設定
|
パラメーター |
タイプ |
説明 |
|
|
ブール値 |
バージョン 0.4.0 以降でサポートされています。 デフォルトで STS 関連の環境変数を Pod にインジェクトするかどうかを指定します。
|
Namespace 設定
|
パラメーター |
タイプ |
説明 |
サンプルコード |
|
|
label |
Namespace 内の Pod に対する設定の自動インジェクションを有効にするかどうかを指定します。
|
|
|
|
label |
バージョン 0.4.2 以降でサポートされています。 Namespace 内の Pod に対する設定の自動上書きを有効にするかどうかを指定します。有効にすると、インジェクトされた環境変数が、同じ名前の既存の環境変数より優先されます。
|
|
ServiceAccount 設定
|
パラメーター |
タイプ |
説明 |
サンプルコード |
|
|
annotation |
この ServiceAccount の RAM ロール名。存在しないか無効な場合、この ServiceAccount を使用する Pod には設定がインジェクトされません。 |
|
|
|
annotation |
この ServiceAccount を使用する Pod の OIDC トークンの有効期間。 有効な値:600~43200。単位:秒。 デフォルト値:3600。無効な値はデフォルト値にフォールバックします。 |
|
|
|
annotation |
バージョン 0.3.0 以降でサポートされています。 この ServiceAccount を使用する Pod に
|
|
Pod 設定
|
パラメーター |
タイプ |
説明 |
サンプルコード |
|
|
label |
バージョン 0.2.0 以降でサポートされています。 この Pod に対して、設定の自動インジェクションを有効にするかどうかを指定します。
|
|
|
|
annotation |
バージョン 0.4.2 以降でサポートされています。 この Pod に対して、設定の自動上書きを有効にするかどうかを指定します。有効にすると、インジェクトされた環境変数が、同じ名前の既存の環境変数より優先されます。
|
|
|
|
annotation |
この Pod の OIDC トークンの有効期間。 有効な値:600~43200。単位:秒。 デフォルト値:3600。無効な値はデフォルト値にフォールバックします。 説明
この annotation が ServiceAccount と Pod の両方で指定されている場合、Pod レベルの annotation が優先されます。 |
|
|
|
annotation |
設定をインジェクトするコンテナを指定します。名前はコンマ (,) で区切ります。 指定しない場合、すべてのコンテナに設定がインジェクトされます。 |
|
|
|
annotation |
設定のインジェクションから除外するコンテナを指定します。名前はコンマ (,) で区切ります。 説明
コンテナ名が |
|
リリースノート
2026年4月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.4.3 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.3 |
2026年4月23日 |
|
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2026年1月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.4.2 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.2 |
2026年1月29日 |
|
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2025年11月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.4.0 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.0 |
2025年11月24日 |
|
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2025年9月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.3.1 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1 |
2025年9月8日 |
Go を 1.24.6 にアップグレードし、安定性を向上させました。 |
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2025年6月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.3.0 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun |
2025年6月6日 |
ServiceAccount の |
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2025年3月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.2.1 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun |
2025年3月18日 |
Go を 1.23.7 にアップグレードし、安定性を向上させました。 |
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2024年12月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.2.0 |
registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun |
2024年12月19日 |
|
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2023年6月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.1.1 |
registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun |
2023年6月7日 |
サーバーレス Kubernetes クラスターとの互換性を改善しました。 |
アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。 |
2023年2月
|
バージョン |
イメージアドレス |
リリース日 |
変更点 |
影響 |
|
0.1.0 |
registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun |
2023年2月1日 |
アプリケーション Pod への OIDC トークンの自動マウントと環境変数のインジェクションを実装しました。 |
初期リリース。 |