すべてのプロダクト
Search
ドキュメントセンター

Container Service for Kubernetes:ack-pod-identity-webhook の概要とリリースノート

最終更新日:Jun 16, 2026

Pod に OIDC トークンを自動的にインジェクトし、Pod ごとのパスワードレスな RAM ロールアクセスを実現します。

概要

ack-pod-identity-webhook は、Kubernetes の MutatingAdmissionWebhook メカニズムを使用して、Container Service for Kubernetes (ACK) の RAM Roles for Service Accounts (RRSA) を簡素化します。アプリケーション Pod に OIDC トークンのボリュームマウントと環境変数を自動的にインジェクトすることで、手動での設定が不要になります。

使用方法

ack-pod-identity-webhook は RRSA 設定を自動化し、Pod が直接 RAM ロールを引き受けられるようにします。これにより、Pod ごとのパスワードレスな権限隔離が実現します。詳細については、「サービスアカウントのRRSAを設定してPod間の権限を分離する」をご参照ください。

カスタム設定

ack-pod-identity-webhook は、コンポーネント、Namespace、ServiceAccount、Pod の各レベルでカスタマイズできます。

コンポーネント設定

パラメーター

タイプ

説明

AutoInjectSTSEnvVars

ブール値

バージョン 0.4.0 以降でサポートされています。

デフォルトで STS 関連の環境変数を Pod にインジェクトするかどうかを指定します。

  • true:この機能を有効にします。

  • false:この機能を無効にします。

Namespace 設定

パラメーター

タイプ

説明

サンプルコード

pod-identity.alibabacloud.com/injection

label

Namespace 内の Pod に対する設定の自動インジェクションを有効にするかどうかを指定します。

  • on:設定の自動インジェクションを有効にします。

  • この label がない場合、または他の値に設定されている場合は無効になります。

apiVersion: v1
kind: Namespace
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

pod-identity.alibabacloud.com/override-env

label

バージョン 0.4.2 以降でサポートされています。

Namespace 内の Pod に対する設定の自動上書きを有効にするかどうかを指定します。有効にすると、インジェクトされた環境変数が、同じ名前の既存の環境変数より優先されます。

  • true:設定の自動上書きを有効にします。

  • この label がない場合、または他の値に設定されている場合は無効になります。

apiVersion: v1
kind: Namespace
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/override-env: 'true'

ServiceAccount 設定

パラメーター

タイプ

説明

サンプルコード

pod-identity.alibabacloud.com/role-name

annotation

この ServiceAccount の RAM ロール名。存在しないか無効な場合、この ServiceAccount を使用する Pod には設定がインジェクトされません。

apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/role-name: test-role

pod-identity.alibabacloud.com/service-account-token-expiration

annotation

この ServiceAccount を使用する Pod の OIDC トークンの有効期間。

有効な値:600~43200。単位:秒。

デフォルト値:3600。無効な値はデフォルト値にフォールバックします。

apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

pod-identity.alibabacloud.com/inject-sts-endpoint

annotation

バージョン 0.3.0 以降でサポートされています。

この ServiceAccount を使用する Pod に ALIBABA_CLOUD_STS_ENDPOINT 環境変数をインジェクトするかどうかを指定します。

  • on:インジェクションを有効にします。

  • この annotation がない場合、または他の値に設定されている場合は無効になります。

apiVersion: v1
kind: ServiceAccount
metadata:
  name: test-sa
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/inject-sts-endpoint: 'on'

Pod 設定

パラメーター

タイプ

説明

サンプルコード

pod-identity.alibabacloud.com/injection

label

バージョン 0.2.0 以降でサポートされています。

この Pod に対して、設定の自動インジェクションを有効にするかどうかを指定します。

  • on:設定の自動インジェクションを有効にします。

  • この label がない場合、または他の値に設定されている場合は、Namespace レベルの設定にフォールバックします。

apiVersion: v1
kind: Pod
metadata:
  name: test
  labels:
    pod-identity.alibabacloud.com/injection: 'on'

pod-identity.alibabacloud.com/override-env

annotation

バージョン 0.4.2 以降でサポートされています。

この Pod に対して、設定の自動上書きを有効にするかどうかを指定します。有効にすると、インジェクトされた環境変数が、同じ名前の既存の環境変数より優先されます。

  • true:設定の自動上書きを有効にします。

  • この annotation がない場合、または他の値に設定されている場合は、Namespace レベルの設定にフォールバックします。

apiVersion: v1
kind: Pod
metadata:
  name: test
  annotations:
    pod-identity.alibabacloud.com/override-env: 'true'

pod-identity.alibabacloud.com/service-account-token-expiration

annotation

この Pod の OIDC トークンの有効期間。

有効な値:600~43200。単位:秒。

デフォルト値:3600。無効な値はデフォルト値にフォールバックします。

説明

この annotation が ServiceAccount と Pod の両方で指定されている場合、Pod レベルの annotation が優先されます。

apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/service-account-token-expiration: '3600'

pod-identity.alibabacloud.com/only-containers

annotation

設定をインジェクトするコンテナを指定します。名前はコンマ (,) で区切ります。

指定しない場合、すべてのコンテナに設定がインジェクトされます。

apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/only-containers: 'controller,test'

pod-identity.alibabacloud.com/skip-containers

annotation

設定のインジェクションから除外するコンテナを指定します。名前はコンマ (,) で区切ります。

説明

コンテナ名が pod-identity.alibabacloud.com/only-containerspod-identity.alibabacloud.com/skip-containers の両方で指定されている場合、そのコンテナに対する pod-identity.alibabacloud.com/only-containers の設定は無視されます。

apiVersion: v1
kind: Pod
metadata:
  name: test-pod
  namespace: test
  annotations:
    pod-identity.alibabacloud.com/skip-containers: 'controller,test'

リリースノート

2026年4月

バージョン

イメージアドレス

リリース日

変更点

影響

0.4.3

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.3

2026年4月23日

  • Go を 1.25.9 にアップグレードし、安定性を向上させました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2026年1月

バージョン

イメージアドレス

リリース日

変更点

影響

0.4.2

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.2

2026年1月29日

  • 設定の自動上書き機能を追加しました。インジェクトされた変数は、同じ名前の Pod 内の既存の環境変数より優先されます。この機能は、Namespace レベルでは pod-identity.alibabacloud.com/override-env label を、Pod レベルでは同名の annotation を使用して有効にできます。

  • Go を 1.25.6 にアップグレードし、安定性を向上させました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2025年11月

バージョン

イメージアドレス

リリース日

変更点

影響

0.4.0

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.4.0

2025年11月24日

  • デフォルトでは、ALIBABA_CLOUD_STS_ENDPOINTALIBABA_CLOUD_STS_REGION、および ALIBABA_CLOUD_VPC_ENDPOINT_ENABLED の STS 関連の環境変数がポッドにインジェクトされるようになりました。

    コンポーネントパラメーター AutoInjectSTSEnvVarsfalse に設定して無効化します。

  • Go を 1.24.10 にアップグレードし、安定性を向上させました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2025年9月

バージョン

イメージアドレス

リリース日

変更点

影響

0.3.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:0.3.1

2025年9月8日

Go を 1.24.6 にアップグレードし、安定性を向上させました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2025年6月

バージョン

イメージアドレス

リリース日

変更点

影響

0.3.0

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.3.0.0-g433f84b-aliyun

2025年6月6日

ServiceAccount の pod-identity.alibabacloud.com/inject-sts-endpoint annotation を使用して ALIBABA_CLOUD_STS_ENDPOINT をインジェクトする機能を追加しました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2025年3月

バージョン

イメージアドレス

リリース日

変更点

影響

0.2.1

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.1.0-g52e519c-aliyun

2025年3月18日

Go を 1.23.7 にアップグレードし、安定性を向上させました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2024年12月

バージョン

イメージアドレス

リリース日

変更点

影響

0.2.0

registry-cn-hangzhou.ack.aliyuncs.com/acs/ack-pod-identity-webhook:v0.2.0.11-g2f0c2e7-aliyun

2024年12月19日

  • pod-identity.alibabacloud.com/injection: 'on' label を使用して、Pod レベルで設定をインジェクトする機能を追加しました。

  • Kubernetes 1.32 のサポートを改善しました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2023年6月

バージョン

イメージアドレス

リリース日

変更点

影響

0.1.1

registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.1.0-gbddcb74-aliyun

2023年6月7日

サーバーレス Kubernetes クラスターとの互換性を改善しました。

アップグレード中に例外が発生すると、Pod の作成が失敗する可能性があります。オフピーク時間にアップグレードしてください。

2023年2月

バージョン

イメージアドレス

リリース日

変更点

影響

0.1.0

registry.cn-hangzhou.aliyuncs.com/acs/ack-pod-identity-webhook:v0.1.0.9-g26b8fde-aliyun

2023年2月1日

アプリケーション Pod への OIDC トークンの自動マウントと環境変数のインジェクションを実装しました。

初期リリース。