Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rufen Sie Signaturschlüssel ab, um Token zu validieren OIDC

Kubernetesgibt jeweils ProjectedServiceAccountToken einen aus KubernetesService Account. Dieses Token ist ein OIDC Token, das außerdem ein Typ von istJSON web token (JWT). Amazon EKS hostet für jeden Cluster einen öffentlichen OIDC Endpunkt, der die Signaturschlüssel für das Token enthält, sodass externe Systeme es validieren können.

Um einen zu validierenProjectedServiceAccountToken, müssen Sie die OIDC öffentlichen Signaturschlüssel, auch bekannt als, abrufen. JSON Web Key Set (JWKS) Verwenden Sie diese Schlüssel in Ihrer Anwendung, um das Token zu validieren. Sie können beispielsweise die PyjWT-Python-Bibliothek verwenden, um Token mit diesen Schlüsseln zu validieren. Weitere Informationen zu finden Sie unterProjectedServiceAccountToken. IAM, Kubernetes, und OpenID Connect (OIDC) Hintergrundinformationen

Voraussetzungen

Ein vorhandener AWS Identity and Access Management (IAM) OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Informationen zum Feststellen, ob Sie bereits über einen verfügen oder einen erstellen müssen, finden Sie unter Erstelle eine IAM OIDC Anbieter für Ihren Cluster.
AWS CLI— Ein Befehlszeilentool für die Arbeit mit AWS Diensten, einschließlich Amazon EKS. Weitere Informationen finden Sie unter Installieren, Aktualisieren und Deinstallieren von AWS CLI im AWS Command Line Interface -Benutzerhandbuch. Nach der Installation empfehlen wir AWS CLI, dass Sie es auch konfigurieren. Weitere Informationen finden Sie unter Schnellkonfiguration mit aws configure im AWS Command Line Interface -Benutzerhandbuch.

Rufen Sie OIDC öffentliche Signaturschlüssel ab ()AWS CLI

Rufen Sie die OIDC URL für Ihren Amazon EKS-Cluster mit dem ab AWS CLI.


$ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer'
"https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"

Rufen Sie den öffentlichen Signaturschlüssel mit curl oder einem ähnlichen Tool ab. Das Ergebnis ist ein JSON Web Key Set (JWKS).

Wichtig
Amazon EKS drosselt Anrufe an den OIDC Endpunkt. Sie sollten den öffentlichen Signaturschlüssel zwischenspeichern. Respektieren Sie den in der Antwort enthaltenen cache-control Header.

Wichtig
Amazon EKS rotiert den OIDC Signaturschlüssel alle sieben Tage.
```
$ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
{"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}
```

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Unterstützt SDKs

Rechenleistung verwalten

Rufen Sie Signaturschlüssel ab, um Token zu validieren OIDC

Voraussetzungen

Rufen Sie OIDC öffentliche Signaturschlüssel ab ()AWS CLI

Wichtig

Wichtig