クラスターの IAM OIDC プロバイダーを作成する - Amazon EKS

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

クラスターの IAM OIDC プロバイダーを作成する

クラスターにはOpenID、Connect 発行者 URL が関連付けられています。サービスアカウントの IAM ロールを使用するには、クラスターに IAM OIDC プロバイダーが存在する必要があります。

Prerequisites

既存の クラスター。ない場合は、いずれかの の使用を開始するAmazon EKSガイドを使用して作成できます。

IAM を使用してクラスターの eksctl OIDC ID プロバイダーを作成するには

  1. クラスターに既存の IAM OIDC プロバイダーがあるかどうかを確認します。

    クラスターの OIDC プロバイダー URL を表示します。

    aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

    出力例:

    https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

    アカウントの IAM OIDC プロバイダーを一覧表示します。置換 <EXAMPLED539D4633E53DE1B716D3041E> ( を含む <>) を、前のコマンドから返された値に置き換えます。 

    aws iam list-open-id-connect-providers | grep <EXAMPLED539D4633E53DE1B716D3041E>

    出力例

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

    前のコマンドから出力が返された場合は、クラスターのプロバイダーがすでに存在しています。出力が返されない場合はIAM、OIDC プロバイダーを作成する必要があります。

  2. 次のコマンドを使用して、クラスターの IAM OIDC ID プロバイダーを作成します。<cluster_name> ( を含む<>) を独自の値に置き換えます。 

    eksctl utils associate-iam-oidc-provider --cluster <cluster_name> --approve

IAM を使用してクラスターの AWS マネジメントコンソール OIDC ID プロバイダーを作成するには

  1. Open the Amazon EKS console at https://console.aws.amazon.com/eks/home#/clusters.

  2. クラスターの名前を選択し、[設定] タブを選択します。

  3. [詳細] セクションで、[OpenID Connect provider URL (OpenID Connect プロバイダーの URL)] の値をメモします。

  4. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  5. ナビゲーションペインで、[Identity Providers (ID プロバイダー)] を選択します。クラスターの URL に一致するプロバイダーが一覧に表示されている場合は、クラスター用のプロバイダーが既に存在します。クラスターの URL に一致するプロバイダーが一覧に表示されていない場合は、プロバイダーを作成する必要があります。

  6. プロバイダーを作成するには、[プロバイダーの追加] を選択します。

  7. [プロバイダタイプ] でOpenID、[接続] を選択します。

  8. [プロバイダー URL] に、クラスターの OIDC 発行者 URL を貼り付け、[サムプリントの取得] を選択します。

  9. [対象者] にsts.amazonaws.com「」と入力し、[プロバイダーの追加] を選択します。