クラスターの IAM OIDC プロバイダーを作成するには

クラスターには、OpenID Connect発行者の URL が関連付けられています。サービスアカウントで IAM ロールを使用するには、クラスターのための IAM OIDC プロバイダーが存在している必要があります。

Prerequisites

既存のクラスター。まだ所有していない場合は、Amazon EKS の使用開始 でのガイドのいずれかを参照しながら作成します。

eksctl を使用してクラスターの IAM OIDC プロバイダーを作成するには

1. クラスターに、既存の IAM OIDC プロバイダーがあるかどうかを確認します。

   クラスターの OIDC プロバイダーの URL を表示します。

   aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

   出力例:

   https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

   アカウントのすべての OIDC プロバイダーを一覧表示するには <EXAMPLED539D4633E53DE1B716D3041E> (<> を含む) を、前回のコマンドから返された値に置き換えます。

   aws iam list-open-id-connect-providers | grep <EXAMPLED539D4633E53DE1B716D3041E>

   出力例

   "Arn": "arn:aws-cn:iam::111122223333:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

   前のコマンドから出力が返された場合は、既にクラスター用のプロバイダーが存在します。出力が返されない場合は、IAM OIDC プロバイダーを作成する必要があります。

2. 次のコマンドを使用して、クラスターの IAM OIDC ID プロバイダーを作成します。<cluster_name> (<> を含む) は、自分で使用している値に置き換えます。

   eksctl utils associate-iam-oidc-provider --cluster <cluster_name> --approve

AWS Management Console を使用してクラスターの IAM OIDC プロバイダーを作成するには

1. Amazon EKS コンソール (https://console.aws.amazon.com/eks/home#/clusters) を開きます。

2. クラスターの名前を選択し、[Configuration (設定)] タブを選択します。

3. [Details (詳細)] セクションで、[OpenID Connect provider URL (OpenID Connect プロバイダーの URL)] の値を書き留めます。

4. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

5. ナビゲーションパネルで、[Identity Providers (ID プロバイダー)] を選択します。[Provider (プロバイダー)] がクラスターの URL と一致するリストに表示されている場合は、クラスターのプロバイダーがすでに存在します。クラスターの URL に一致するプロバイダーがリストにない場合、プロバイダーを作成する必要があります。

6. プロバイダーを作成するには、[Add Provider (プロバイダを追加)] を選択します。

7. [Provider Type (プロバイダータイプ)] で、[OpenID Connect] を選択します。

8. [Provider URL (プロバイダー URL)] に、クラスターの OIDC 発行者 の URL を貼り付け、[Get thumbprint (サムプリントを取得)] を選択します。

9. [Audience (対象者)] に sts.amazonaws.com と入力し、[Add provider (プロバイダを追加)] を選択します。