Helfen Sie mit, diese Seite zu verbessern
Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Authentifizieren Sie Benutzer für Ihren Cluster von einem OpenID Connect Identitätsanbieter
Amazon EKS unterstützt die Verwendung von OpenID Connect (OIDC) -Identitätsanbietern als Methode zur Authentifizierung von Benutzern in Ihrem Cluster. OIDCIdentitätsanbieter können zusammen mit oder als Alternative zu AWS Identity and Access Management (IAM) verwendet werden. Weitere Informationen zur Verwendung von IAM finden Sie unter Zugriff auf Kubernetes APIs gewähren . Nachdem Sie die Authentifizierung für Ihren Cluster konfiguriert haben, können Sie Kubernetes-roles
und clusterroles
erstellen, um den Rollen Berechtigungen zuzuweisen, und dann die Rollen mithilfe von Kubernetes-rolebindings
und clusterrolebindings
an die Identitäten binden. Weitere Informationen finden Sie unter Using RBAC authorization
Überlegungen
-
Sie können Ihrem Cluster einen einzelnen OIDC-Identitätsanbieter zuordnen.
-
Kubernetes stellt keinen OIDC-Identitätsanbieter bereit. Sie können einen vorhandenen öffentlichen OIDC-Identitätsanbieter verwenden oder Ihren eigenen Identitätsanbieter ausführen. Eine Liste zertifizierter Anbieter finden Sie unter OpenID-Zertifizierung
auf der OpenID-Website. -
Die Aussteller-URL des OIDC-Identitätsanbieters muss öffentlich zugänglich sein, damit Amazon EKS die Signaturschlüssel erkennen kann. Amazon EKS unterstützt keine OIDC-Identitätsanbieter mit selbstsignierten Zertifikaten.
-
Sie können die IAM-Authentifizierung in Ihrem Cluster nicht deaktivieren, da sie weiterhin erforderlich ist, um einem Cluster Knoten hinzufügen zu können.
-
Ein Amazon EKS-Cluster muss weiterhin von einem AWS IAM-Prinzipal und nicht von einem OIDC Identitätsanbieter-Benutzer erstellt werden. Dies liegt daran, dass der Cluster-Ersteller mit den Amazon-EKS-APIs interagiert und nicht mit den Kubernetes-APIs.
-
OIDCBenutzer, die vom Identitätsanbieter authentifiziert wurden, werden im Audit-Protokoll des Clusters aufgeführt, wenn die CloudWatch Protokolle für die Kontrollebene aktiviert sind. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren von Steuerebenenprotokollen.
-
Sie können sich nicht AWS Management Console mit einem Konto eines Anbieters bei der anmelden. OIDC Sie können KubernetesRessourcen in der Konsole nur anzeigen, wenn Sie sich AWS Management Console mit einem AWS Identity and Access Management Konto bei der anmelden.
Zuordnen eines OIDC-Identitätsanbieters
Bevor Sie Ihrem Cluster einen OIDC-Identitätsanbieter zuordnen können, benötigen Sie die folgenden Informationen von Ihrem Anbieter:
- URL des Ausstellers
-
Die URL des OIDC-Identitätsanbieters, die es dem API-Server ermöglicht, öffentliche Signierschlüssel zur Verifizierung von Token zu ermitteln. Die URL muss mit
https://
beginnen und sollte demiss
-Anspruch in den OIDC-ID-Token des Anbieters entsprechen. Gemäß dem OIDC-Standard sind Pfadkomponenten erlaubt, Abfrageparameter jedoch nicht. Normalerweise besteht die URL nur aus einem Hostnamen wiehttps://server.example.org
oderhttps://example.com
. Diese URL sollte auf die Ebene unterhalb von.well-known/openid-configuration
verweisen und muss über das Internet öffentlich zugänglich sein. - Client-ID (auch als Zielgruppe bezeichnet)
-
Die ID für die Client-Anwendung, die Authentifizierungsanforderungen an den OIDC-Identitätsanbieter stellt.
Sie können einen Identitätsanbieter mit eksctl
oder AWS Management Console zuordnen.
Aufheben der Zuordnung zwischen einem OIDC-Identitätsanbieter und Ihrem Cluster
Wenn Sie die Zuordnung zwischen einem OIDC-Identitätsanbieter und Ihrem Cluster aufheben, können im Anbieter enthaltene Benutzer nicht mehr auf den Cluster zugreifen. Sie können jedoch weiterhin mit IAM-Prinzipalen auf den Cluster zugreifen.
So verwenden Sie die AWS Management Console, um die Zuordnung zwischen einem OIDC-Identitätsanbieter und Ihrem Cluster aufzuheben
-
Öffnen Sie die Amazon-EKS-Konsole unter https://console.aws.amazon.com/eks/home#/clusters
. -
Wählen Sie im Abschnitt OIDC-Identitätsanbieter die Option Zuordnung aufheben aus, geben Sie den Namen des Identitätsanbieters ein und wählen Sie anschließend
Disassociate
aus.
Beispiel für eine IAM-Richtlinie
Wenn Sie verhindern möchten, dass ein OIDC-Identitätsanbieter einem Cluster zugeordnet wird, erstellen Sie die folgende IAM-Richtlinie und ordnen Sie sie den IAM-Konten Ihrer Amazon-EKS-Administratoren zu. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien und Hinzufügen von IAM-Identitätsberechtigungen im IAM-Benutzerhandbuch und Aktionen, Ressourcen und Bedingungsschlüssel für Amazon Elastic Kubernetes Service in der Service-Autorisierungsreferenz.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "denyOIDC", "Effect": "Deny", "Action": [ "eks:AssociateIdentityProviderConfig" ], "Resource": "arn:aws:eks:
us-west-2
.amazonaws.com:111122223333
:cluster/*" }, { "Sid": "eksAdmin", "Effect": "Allow", "Action": [ "eks:*" ], "Resource": "*" } ] }
Die folgende Beispielrichtlinie lässt die Zuordnung von OIDC-Identitätsanbietern zu, wenn clientID
den Wert kubernetes
und issuerUrl
den Wert https://cognito-idp.us-west-2amazonaws.com/*
hat.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowCognitoOnly", "Effect": "Deny", "Action": "eks:AssociateIdentityProviderConfig", "Resource": "arn:aws:eks:
us-west-2
:111122223333
:cluster/my-instance
", "Condition": { "StringNotLikeIfExists": { "eks:issuerUrl": "https://cognito-idp.us-west-2
.amazonaws.com/*" } } }, { "Sid": "DenyOtherClients", "Effect": "Deny", "Action": "eks:AssociateIdentityProviderConfig", "Resource": "arn:aws:eks:us-west-2
:111122223333
:cluster/my-instance
", "Condition": { "StringNotEquals": { "eks:clientId": "kubernetes
" } } }, { "Sid": "AllowOthers", "Effect": "Allow", "Action": "eks:*", "Resource": "*" } ] }
Von Partnern validierte OIDC-Identitätsanbieter
Amazon EKS pflegt Beziehungen zu einem Netzwerk von Partnern, die Support für alternative kompatible OIDC-Identitätsanbieter bieten. Weitere Details zur Integration des Identitätsanbieters in der Dokumentation der folgenden Partner mit Amazon EKS.
Partner |
Produkt |
Dokumentation |
---|---|---|
PingIdentity |
Amazon EKS bemüht sich, Ihnen eine große Auswahl an Optionen zu bieten, um alle Anwendungsfälle abzudecken. Wenn Sie einen kommerziell unterstützten OIDC-kompatiblen Identitätsanbieter entwickeln, der hier nicht aufgeführt ist, wenden Sie sich an unser Partnerteam unter aws-container-partners@amazon.com