Crear un proveedor de OIDC de IAM para su clúster - Amazon EKS

Crear un proveedor de OIDC de IAM para su clúster

Su clúster tiene una URL de emisor de OpenID Connect asociada. A fin de utilizar roles de IAM para cuentas de servicio, debe existir un proveedor de OIDC de IAM para el clúster.

Prerequisites

Un clúster existente. Si no tiene uno, puede crearlo mediante una de las guías de Introducción a Amazon EKS.

A fin de crear un proveedor de identidad de OIDC de IAM para su clúster con eksctl

  1. Determine si cuenta con un proveedor de OIDC de IAM existente para el clúster.

    Vea la URL del proveedor de OIDC de su clúster.

    aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

    Ejemplo de resultados:

    https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

    Enumere los proveedores de OIDC de IAM en su cuenta. Reemplace <EXAMPLED539D4633E53DE1B716D3041E> (incluido <>) con el valor devuelto por el comando anterior.

    aws iam list-open-id-connect-providers | grep <EXAMPLED539D4633E53DE1B716D3041E>

    Ejemplo de salida

    "Arn": "arn:aws-cn:iam::111122223333:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

    Si se devuelve el resultado desde el comando anterior, ya cuenta con un proveedor para el clúster. Si no se devuelve un resultado, debe crear un proveedor de OIDC de IAM.

  2. Cree un proveedor de identidad de OIDC de IAM para su clúster con el siguiente comando. Reemplace <cluster_name> (incluido <>) con su propio valor.

    eksctl utils associate-iam-oidc-provider --cluster <cluster_name> --approve

A fin de crear un proveedor de identidad de OIDC de IAM para su clúster con la AWS Management Console

  1. Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.

  2. Seleccione el nombre del clúster y luego seleccione la pestaña Configuration (Configuración).

  3. En la sección de Details (Detalles), anote el valor de la OpenID Connect provider URL (URL del proveedor de OpenID Connect).

  4. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  5. En el panel de navegación, elija Identity Providers (Proveedores de identidad). Si aparece un Proveedor que coincide con la URL de su clúster, ya cuenta con un proveedor para su clúster. Si no aparece un proveedor en la lista que coincida con la URL del clúster, debe crear uno.

  6. Para crear un proveedor, elija Add Provider (Agregar proveedor).

  7. En Provider Type (Tipo de proveedor), elija OpenID Connect.

  8. En Provider URL (URL del proveedor), pegue la URL del emisor de OIDC del clúster y, a continuación, elija Get thumbprint (Obtener huella digital).

  9. En Audience (Público), ingrese sts.amazonaws.com y elija Add provider (Agregar proveedor).