Hilf mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Rufen Sie Signaturschlüssel ab, um Token zu validieren OIDC
Kubernetesgibt jeweils ProjectedServiceAccountToken
einen aus KubernetesService
Account. Dieses Token ist ein OIDC Token, das außerdem ein Typ von istJSON
web token (JWT). Amazon EKS hostet für jeden Cluster einen öffentlichen OIDC Endpunkt, der die Signaturschlüssel für das Token enthält, sodass externe Systeme es validieren können.
Um einen zu validierenProjectedServiceAccountToken
, müssen Sie die OIDC öffentlichen Signaturschlüssel, auch bekannt als, abrufen. JSON Web Key Set (JWKS) Verwenden Sie diese Schlüssel in Ihrer Anwendung, um das Token zu validieren. Sie können beispielsweise die PyjWT-Python-BibliothekProjectedServiceAccountToken
. IAM, Kubernetes, und OpenID Connect (OIDC) Hintergrundinformationen
Voraussetzungen
-
Ein vorhandener AWS Identity and Access Management (IAM) OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Informationen zum Feststellen, ob Sie bereits über einen verfügen oder einen erstellen müssen, finden Sie unter Erstelle eine IAM OIDC Anbieter für Ihren Cluster.
-
AWS CLI— Ein Befehlszeilentool für die Arbeit mit AWS Diensten, einschließlich Amazon EKS. Weitere Informationen finden Sie unter Installieren, Aktualisieren und Deinstallieren von AWS CLI im AWS Command Line Interface -Benutzerhandbuch. Nach der Installation empfehlen wir AWS CLI, dass Sie es auch konfigurieren. Weitere Informationen finden Sie unter Schnellkonfiguration mit
aws configure
im AWS Command Line Interface -Benutzerhandbuch.
Rufen Sie OIDC öffentliche Signaturschlüssel ab ()AWS CLI
-
Rufen Sie die OIDC URL für Ihren Amazon EKS-Cluster mit dem ab AWS CLI.
$
aws eks describe-cluster --name
"my-cluster
--query 'cluster.identity.oidc.issuer'https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE
" -
Rufen Sie den öffentlichen Signaturschlüssel mit curl oder einem ähnlichen Tool ab. Das Ergebnis ist ein JSON Web Key Set (JWKS)
. Wichtig
Amazon EKS drosselt Anrufe an den OIDC Endpunkt. Sie sollten den öffentlichen Signaturschlüssel zwischenspeichern. Respektieren Sie den in der Antwort enthaltenen
cache-control
Header.Wichtig
Amazon EKS rotiert den OIDC Signaturschlüssel alle sieben Tage.
$
curl
{"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE
/keys