サービス アカウントは、ポッド内で実行されるプロセスの ID を提供します。
人間がクラスターにアクセスすると (たとえば、kubectl を使用)、apiserver によって特定のユーザー アカウントとして認証されます (クラスター管理者がクラスターをカスタマイズしていない限り、現在これは通常 admin です)。ポッド内のコンテナー内のプロセスも apiserver に接続できます。その場合、特定のサービス アカウント (たとえば、default) として認証されます。
ポッドを作成するときにサービス アカウントを指定しないと、同じ名前空間内のデフォルトのサービス アカウントが自動的に割り当てられます。作成したポッドの生の json または yaml を取得すると (たとえば、kubectl get pods/<podname> -o yaml)、spec.serviceAccountName フィールドが自動的に設定されていることがわかります。
「クラスターへのアクセス」で説明されているように、自動的にマウントされたサービス アカウント認証情報を使用して、ポッド内から API にアクセスできます。サービス アカウントの API 権限は、使用されている認証プラグインとポリシーによって異なります。
バージョン 1.6 以降では、サービス アカウントに automountServiceAccountToken: false を設定することで、サービス アカウントの API 認証情報の自動マウントをオプトアウトできます。
APIバージョン: v1
種類: サービスアカウント
メタデータ:
名前: ビルドロボット
自動マウントサービスアカウントトークン: false
...
バージョン 1.6 以降では、特定のポッドの API 認証情報の自動マウントをオプトアウトすることもできます。
APIバージョン: v1
種類: ポッド
メタデータ:
名前: my-pod
仕様:
サービスアカウント名: ビルドロボット
自動マウントサービスアカウントトークン: false
...
両方で automountServiceAccountToken 値が指定されている場合、ポッド仕様がサービス アカウントよりも優先されます。