Walter Fan's Blog

⭐ 推荐文章

大龄程序员尚能饭否 — 大龄程序员的自我审视
不要让快餐与短视频改变了我们 — 在碎片化时代保持清醒
从手搓 Workflow 到 LangGraph — AI 流程编排的两种路径
AI 时代，我为什么还要写作 — 写作是自娱自乐与表达欲
职场工具箱之 SCAMPER — 用 7 个动作把没想法变成有方案

用开源组件搭一个 AWS IAM 风格的授权系统

Posted on 三 29 4月 2026 in Tech • Tagged with authorization, IAM, OPA, OpenFGA, Keycloak, STS, SPIFFE, SPIRE, RBAC, ABAC, ReBAC, security

如果要用开源组件搭一个 AWS IAM 风格的授权系统，不能只靠 OpenFGA 或 OPA。更合理的组合是 Keycloak/Dex 做用户身份，SPIFFE/SPIRE 做工作负载身份，STS 服务签发短期角色会话，OpenFGA 表达 trust/resource relationship，OPA 表达 permission policy、condition 和 explicit deny，再由 API Gateway 或服务中间件作为 PEP 执行决策。

Workload Identity：别再把云上身份塞进 Secret 里了

Posted on 四 19 3月 2026 in Journal • Tagged with journal, blog, security, cloud, kubernetes, iam, workload identity

讲清楚 workload identity 是什么、为什么它比长期凭证更靠谱，以及在 Kubernetes 和云平台里如何落地。

在 EKS 上给 Pod 绑 IAM Role：IRSA（ServiceAccount + OIDC）到底怎么回事

Posted on 日 25 1月 2026 in Tech • Tagged with Kubernetes, EKS, AWS, IAM, IRSA, OIDC, security, STS

Node Role 像一把“万能钥匙”。IRSA 让你把权限精确绑定到 Pod：用 Kubernetes 的 ServiceAccount token 走 OIDC 联邦，去 STS 换临时凭证。