클러스터에 대한 IAM OIDC 공급자 생성
클러스터에는 OpenID Connect
사전 조건
기존 클러스터가 있어야 합니다. 아직 없는 경우 Amazon EKS 시작하기 가이드 중 하나를 사용하여 생성할 수 있습니다.
eksctl
또는 AWS Management Console을 사용하여 클러스터에 대한 OIDC 공급자를 생성할 수 있습니다.
- eksctl
-
eksctl
로 클러스터의 IAM OIDC 자격 증명 공급자를 생성하려면-
클러스터에 기존 IAM OIDC 공급자가 있는지 확인합니다.
클러스터의 OIDC 공급자 URL을 확인합니다.
aws eks describe-cluster --name
my-cluster
--query "cluster.identity.oidc.issuer" --output text출력 예는 다음과 같습니다.
https://oidc.eks.
region-code
.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE
계정의 IAM OIDC 공급자를 나열합니다.
를 이전 명령에서 반환된 값으로 바꿉니다.EXAMPLED539D4633E53DE1B71EXAMPLE
aws iam list-open-id-connect-providers | grep
EXAMPLED539D4633E53DE1B71EXAMPLE
출력 예는 다음과 같습니다.
"Arn": "arn:aws:iam::
111122223333
:oidc-provider/oidc.eks.region-code
.amazonaws.com/id/EXAMPLED539D4633E53DE1B71EXAMPLE
"이전 명령에서 출력이 반환된 경우 클러스터에 대한 공급자가 이미 있는 것입니다. 출력이 반환되지 않은 경우 IAM OIDC 공급자를 생성해야 합니다.
-
다음 명령을 사용하여 클러스터의 IAM OIDC 자격 증명 공급자를 생성합니다.
을 사용자의 고유한 값으로 교체합니다.my-cluster
eksctl utils associate-iam-oidc-provider --cluster
my-cluster
--approve
-
- AWS Management Console
-
AWS Management Console에서 클러스터의 IAM OIDC 자격 증명 공급자를 생성하려면
-
https://console.aws.amazon.com/eks/home#/clusters
에서 Amazon EKS 콘솔을 엽니다. -
클러스터의 이름을 선택합니다.
-
개요(Overview) 탭의 세부 정보(Details) 섹션에서 OpenID Connect 공급자 URL(OpenID Connect provider URL)의 값을 적어 둡니다.
-
https://console.aws.amazon.com/iam/
에서 IAM 콘솔을 엽니다. -
왼쪽 탐색 창의 액세스 관리(Access management)에서 자격 증명 공급자(Identity Providers)를 선택합니다. 클러스터의 URL과 일치하는 공급자가 목록에 있으면 클러스터에 대한 공급자가 이미 있는 것입니다. 클러스터의 URL과 일치하는 공급자가 나열되지 않는 경우 공급자를 생성해야 합니다.
-
공급자를 생성하려면 [공급자 추가(Add Provider)]를 선택합니다.
-
[공급자 유형(Provider Type)]에서 [OpenID 연결(OpenID Connect)]을 선택합니다.
-
[공급자 URL(Provider URL)]에서 클러스터의 OIDC 발행자 URL을 붙여넣고 [지문 가져오기(Get thumbprint)]를 선택합니다.
-
[대상(Audience)에서
sts.amazonaws.com
을 입력하고 [공급자 추가(Add provider)]를 선택합니다.
-