クラスターの IAM OIDC プロバイダーを作成するには

クラスターには、OpenID Connect発行者の URL が関連付けられています。サービスアカウントで IAM ロールを使用するには、クラスターのための IAM OIDC プロバイダーが存在している必要があります。

前提条件

既存のクラスター。まだ所有していない場合は、Amazon EKS の使用開始 でのガイドのいずれかを参照しながら作成します。

eksctl または AWS Management Console を使用して、クラスターの OIDC プロバイダーを作成できます。

eksctl

eksctl を使用してクラスターの IAM OIDC プロバイダーを作成するには

1. クラスターに、既存の IAM OIDC プロバイダーがあるかどうかを確認します。

   クラスターの OIDC プロバイダーの URL を表示します。

   aws eks describe-cluster --name my-cluster --query "cluster.identity.oidc.issuer" --output text

   出力例:

   https://oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

   アカウントのすべての OIDC プロバイダーを一覧表示するには EXAMPLED539D4633E53DE1B716D3041E を、前回のコマンドから返された値に置き換えます。

   aws iam list-open-id-connect-providers | grep EXAMPLED539D4633E53DE1B716D3041E

   出力例

   "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.region-code.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

   前のコマンドから出力が返された場合は、既にクラスター用のプロバイダーが存在します。出力が返されない場合は、IAM OIDC プロバイダーを作成する必要があります。

2. 次のコマンドを使用して、クラスターの IAM OIDC ID プロバイダーを作成します。my-cluster を独自の値に置き換えます。

   eksctl utils associate-iam-oidc-provider --cluster my-cluster --approve

AWS Management Console

AWS Management Console を使用してクラスターの IAM OIDC プロバイダーを作成するには

1. Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。

2. クラスター名を選択し、[Configuration (設定)] タブを選択します。

3. [Details (詳細)] セクションで、[OpenID Connect provider URL (OpenID Connect プロバイダーの URL)] の値を書き留めます。

4. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

5. 左のナビゲーションペインの [Access management] (アクセス管理) で [Identity Providers] (アイデンティティプロバイダー) を選択します。[Provider (プロバイダー)] がクラスターの URL と一致するリストに表示されている場合は、クラスターのプロバイダーがすでに存在します。クラスターの URL に一致するプロバイダーがリストにない場合、プロバイダーを作成する必要があります。

6. プロバイダーを作成するには、[Add Provider (プロバイダを追加)] を選択します。

7. [Provider Type (プロバイダータイプ)] で、[OpenID Connect] を選択します。

8. [Provider URL (プロバイダー URL)] に、クラスターの OIDC 発行者 の URL を貼り付け、[Get thumbprint (サムプリントを取得)] を選択します。

9. [Audience (対象者)] に sts.amazonaws.com を入力し、[Add provider (プロバイダを追加)] を選択します。