Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster - Amazon EKS

Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster

Ihrem Cluster ist eine OpenID Connect-Aussteller-URL zugeordnet. Um IAM-Rollen für Dienstkonten zu verwenden, muss für Ihren Cluster ein IAM-OIDC-Anbieter vorhanden sein.

Voraussetzungen

Einen vorhandenen -Cluster. Wenn Sie keine haben, können Sie eine mit einer der Erste Schritte mit Amazon EKS-Hilfslinien erstellen.

Sie können einen OIDC-Anbieter für Ihren Cluster mit eksctl oder AWS Management Console erstellen.

eksctl

So erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit eksctl

  1. Stellen Sie fest, ob Sie einen vorhandenen IAM-OIDC-Anbieter für Ihren Cluster haben.

    Zeigen Sie die OIDC-Anbieter-URL Ihres Clusters an.

    aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

    Die Beispielausgabe lautet wie folgt.

    https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE

    Listen Sie die IAM-OIDC-Anbieter in Ihrem Konto auf. Ersetzen Sie EXAMPLED539D4633E53DE1B71EXAMPLE durch den vom vorherigen Befehl zurückgegebenen Wert.

    aws iam list-open-id-connect-providers | grep EXAMPLED539D4633E53DE1B71EXAMPLE

    Die Beispielausgabe lautet wie folgt.

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE"

    Wenn die Ausgabe vom vorherigen Befehl zurückgegeben wird, verfügen Sie bereits über einen Anbieter für Ihren Cluster. Wenn keine Ausgabe zurückgegeben wird, müssen Sie einen IAM-OIDC-Anbieter erstellen.

  2. Erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit dem folgenden Befehl. Ersetzen Sie my-cluster durch Ihren eigenen Wert.

    eksctl utils associate-iam-oidc-provider --cluster my-cluster --approve
AWS Management Console

So erstellen Sie einen IAM-OIDC-Identitätsanbieter für Ihren Cluster mit der AWS Management Console

  1. Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie den Namen Ihres Clusters aus.

  3. Notieren Sie im Abschnitt Details der Registerkarte Overview (Übersicht) den Wert der OpenID-Connect-Provider-URL.

  4. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  5. Wählen Sie im linken Navigationsbereich Identity Providers (Identitätsanbieter) unter Access management (Zugriffsverwaltung) aus. Wenn ein Anbieter aufgeführt ist, der mit der URL für Ihren Cluster übereinstimmt, haben Sie bereits einen Anbieter für Ihren Cluster. Wenn kein Anbieter aufgeführt ist, der mit der URL für Ihren Cluster übereinstimmt, müssen Sie einen erstellen.

  6. Um einen Anbieter anzulegen, wählen Sie Anbieter hinzufügen aus.

  7. Wählen Sie als Anbietertyp OpenID Connect aus.

  8. Fügen Sie für Anbieter-URL die OIDC-Aussteller-URL für Ihren Cluster ein, und wählen Sie dann Thumbprint abrufen aus.

  9. Geben Sie für Zielgruppe sts.amazonaws.com ein und wählen Sie Anbieter hinzufügen.