Q26 — AWS DOP-C02 第3章
第 26/100 题 | ← 返回第3章
一家公司正在使难亚马逊弹性库伯内特斯服务(亚马逊EKKS)运行密应难程序。EKS象群正在成功运行多个吊舱。该公司在亚马逊弹性 象装箱注册处(亚马逊ECR)存储POD图像。 公司需要为EKS象群配置POD身份访问。公司已经通活使难POD身份访问肯限更新了节点iam角士。 哪种解决方案能两足这些要求?
- A. 为EKS集群创建一个IAM开放式连接(OIDC)提供程序。 ✓
- B. 确保节点能够到达EKAOTUSAPI。为EKS集群添加和配置EKPOD身份代理插件。
- C. 创建一个EKS访问项,使用AP_和配置_MAP集群身份验证模式。
- D. 发展 为EKK集群中的扩展部分使用的库伯内特斯服务帐户配置AWS安全令牌服务(AWSSTS)端点。
正确答案: A. 为EKS集群创建一个IAM开放式连接(OIDC)提供程序。
解析
AWS EKS中配置Pod身份访问的推荐方法是使用IAM Roles for Service Accounts (IRSA),该功能依赖集群的OIDC身份提供程序。AWS官方文档明确指出:为EKS集群启用OIDC身份提供程序是使用IRSA的前提条件,通过建立OIDC身份提供程序使Kubernetes服务账户能够直接关联IAM角色。选项B涉及现已过时的kiam或kube2iam方案,选项C的_cluster authentication mode_属于节点级身份验证,选项D的STS端点配置属于IRSA实施过程中的具体操作步骤而非核心配置。正确答案A符合AWS官方对IRSA实施的基础架构要求。