この記事では、AWS環境でOpenShiftを使用する際に、コンテナからAWSを操作するための認証情報の最適な扱い方について説明しています。
通常、IAMユーザーのアクセスキーとシークレットキーを使って認証情報をコンテナに渡す方法がありますが、AWSのベストプラクティスはIAMロールやAWS Security Token Service(STS)を使用して一時的な認証情報を提供することを推奨しています。
OpenShiftにはCloud Credential Operator（CCO）が含まれており、IAMロールの作成やSecretの作成を自動化しますが、STSを利用する場合はccoctlツールを使用してCredentialsRequestからSTSを利用するためのSecret yamlファイルを生成できます。
この記事では、STSを使用してAWS IPIでOpenShiftをインストールし、STSを用いてPodに一時的な認証情報を渡してS3バケット一覧を取得する手順を具体的に説明しています。
IAMユーザー認証の代わりにSTSで一時的な認証付与を行う方法を紹介しており、セキュリティポリシーでIAMユーザーの使用が制限されている場合の解決策として提案しています。