Per creare un provider di identità IAM OIDC per il cluster - Amazon EKS

Per creare un provider di identità IAM OIDC per il cluster

Il cluster ha un emittente URL OpenID Connect associato. Per utilizzare i ruoli IAM per gli account di servizio, è necessario che esista un provider OIDC IAM per il cluster.

Prerequisiti

Utilizzo di un cluster esistente. Se non se ne possiede già uno, crearlo utilizzando una delle guide Guida introduttiva ad Amazon EKS.

È possibile creare un provider OIDC per il cluster utilizzando eksctl o la AWS Management Console.

eksctl

Per creare un provider di identità IAM OIDC per il cluster con eksctl

  1. Determinare se si dispone di un provider IAM OIDC esistente per il cluster.

    Visualizzare l'URL del provider OIDC del cluster.

    aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

    Output di esempio:

    https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

    Elencare i provider IAM OIDC nell'account. Sostituire EXAMPLED539D4633E53DE1B716D3041E con il valore restituito dal comando precedente.

    aws iam list-open-id-connect-providers | grep EXAMPLED539D4633E53DE1B716D3041E

    Output di esempio

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

    Se l'output viene restituito dal comando precedente, si dispone già di un provider per il cluster. Se non viene restituito alcun output, è necessario creare un provider OIDC IAM.

  2. Creare un provider di identità OIDC IAM per il cluster con il comando seguente. Sostituisci my-cluster con il tuo valore.

    eksctl utils associate-iam-oidc-provider --cluster my-cluster --approve
AWS Management Console

Per creare un provider di identità OIDC IAM per il cluster con la AWS Management Console

  1. Aprire la console Amazon EKS all'indirizzo https://console.aws.amazon.com/eks/home#/clusters.

  2. Scegliere il nome del cluster e selezionare la scheda Configurazione.

  3. Nella sezione Dettagli, annotare il valore dell'URL del provider OpenID Connect.

  4. Apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  5. Nel pannello di navigazione, scegli Identity Providers (Provider di identità) in Access management (Gestione accesso). Se un Provider nell'elenco corrisponde all'URL del cluster, significa che si dispone già di un provider per il cluster. Se nell'elenco non è presente un provider che corrisponde all'URL del cluster, è necessario crearne uno.

  6. Per creare un provider, selezionare Aggiungi provider.

  7. Per Configura provider, scegliere OpenID Connect.

  8. Per Provider URL, incollare l'URL dell'emittente OIDC per il cluster e scegliere Get thumbprint.

  9. Per Destinatari, inserire sts.amazonaws.com e scegliere Aggiungi provider.