Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster - Amazon EKS

Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster

Ihrem Cluster ist eine OpenID Connect-Aussteller-URL zugeordnet. Um IAM-Rollen für Dienstkonten zu verwenden, muss für Ihren Cluster ein IAM-OIDC-Anbieter vorhanden sein.

Prerequisites

Einen vorhandenen -Cluster. Wenn Sie keine haben, können Sie eine mit einer der Erste Schritte mit Amazon EKS-Hilfslinien erstellen.

So erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit eksctl

  1. Stellen Sie fest, ob Sie einen vorhandenen IAM-OIDC-Anbieter für Ihren Cluster haben.

    Zeigen Sie die OIDC-Anbieter-URL Ihres Clusters an.

    aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

    Beispielausgabe:

    https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

    Listen Sie die IAM-OIDC-Anbieter in Ihrem Konto auf. Ersetzen Sie <EXAMPLED539D4633E53DE1B716D3041E> (einschließlich <>) durch den vom vorherigen Befehl zurückgegebenen Wert.

    aws iam list-open-id-connect-providers | grep <EXAMPLED539D4633E53DE1B716D3041E>

    Beispielausgabe

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

    Wenn die Ausgabe vom vorherigen Befehl zurückgegeben wird, verfügen Sie bereits über einen Anbieter für Ihren Cluster. Wenn keine Ausgabe zurückgegeben wird, müssen Sie einen IAM-OIDC-Anbieter erstellen.

  2. Erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit dem folgenden Befehl. Ersetzen Sie die <cluster_name> (einschließlich <>) durch Ihren eigenen Wert.

    eksctl utils associate-iam-oidc-provider --cluster <cluster_name> --approve

So erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit der AWS Management Console

  1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie den Namen Ihres Clusters und dann die Registerkarte Konfiguration aus.

  3. Notieren Sie im Abschnitt Details den Wert der OpenID-Connect-Provider-URL.

  4. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  5. Wählen Sie im Navigationspanel Identitätsanbieter aus. Wenn ein Anbieter aufgeführt ist, der mit der URL für Ihren Cluster übereinstimmt, haben Sie bereits einen Anbieter für Ihren Cluster. Wenn kein Anbieter aufgeführt ist, der mit der URL für Ihren Cluster übereinstimmt, müssen Sie einen erstellen.

  6. Um einen Anbieter anzulegen, wählen Sie Anbieter hinzufügen aus.

  7. Wählen Sie als Anbietertyp OpenID Connect aus.

  8. Fügen Sie für Anbieter-URL die OIDC-Aussteller-URL für Ihren Cluster ein, und wählen Sie dann Thumbprint abrufen aus.

  9. Geben Sie für Zielgruppe sts.amazonaws.com ein und wählen Sie Anbieter hinzufügen.