Erstellen eines IAM OIDC Anbieter für Ihren Cluster - Amazon EKS
OIDCAnbieter erstellen (eksctl)OIDCAnbieter erstellen (AWS Konsole)

Helfen Sie mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen eines IAM OIDC Anbieter für Ihren Cluster

Ihr Cluster hat einen OpenID Connect (OIDC) Damit ist der Emittent URL verknüpft. Um AWS Identity and Access Management (IAM) -Rollen für Dienstkonten zu verwenden, IAM OIDC Für den Ihres Clusters muss ein Anbieter vorhanden sein OIDC Emittent. URL

  • Ein vorhandener EKS Amazon-Cluster. Informationen zum Bereitstellen finden Sie unter Erste Schritte mit Amazon EKS.

  • Version 2.12.3 oder höher oder Version 1.27.160 oder höher der AWS Befehlszeilenschnittstelle (AWS CLI), die auf Ihrem Gerät installiert und konfiguriert ist, oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sie aws --version | cut -d / -f2 | cut -d ' ' -f1. Paketmanager wieyum,apt-get, oder Homebrew for macOS liegen oft mehrere Versionen hinter der neuesten Version von AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter Installation und Schnellkonfiguration mit aws configure im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle. Die AWS CLI Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie unter Installation AWS CLI in Ihrem Home-Verzeichnis im AWS CloudShell Benutzerhandbuch.

  • Das kubectl-Befehlszeilen-Tool ist auf Ihrem Gerät oder in der AWS CloudShell installiert. Bei der Version kann es sich um dieselbe oder nur um eine Nebenversion handeln, die früher oder später als die Kubernetes Version Ihres Clusters. Wenn Ihre Clusterversion beispielsweise 1.29 ist, können Sie kubectl-Version 1.28, 1.29, oder 1.30 damit verwenden. Informationen zum Installieren oder Aktualisieren von kubectl finden Sie unter Einrichten kubectl und eksctl.

  • Eine vorhandene kubectl config-Datei, die Ihre Clusterkonfiguration enthält. Informationen zum Erstellen einer kubectl config-Datei finden Sie unter Verbinden kubectl zu einem EKS-Cluster durch Erstellen eines kubeconfig file.

Sie können eine erstellen IAM OIDC Anbieter für Ihren Cluster unter Verwendung von eksctl AWS Management Console oder

OIDCAnbieter erstellen (eksctl)

  1. Version 0.199.0 oder höher des eksctl-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren von eksctl finden Sie in der Dokumentation zu eksctl unter Installation.

  2. Ermitteln Sie den OIDC Aussteller-ID für Ihren Cluster.

    Rufen Sie die Ihres Clusters ab OIDC Aussteller-ID und speichern Sie sie in einer Variablen. Ersetzen Sie my-cluster durch Ihren eigenen Wert.

    cluster_name=my-cluster
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id

  1. Stellen Sie fest, ob ein IAM OIDC Der Anbieter mit der Aussteller-ID Ihres Clusters ist bereits in Ihrem Konto enthalten.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Wenn die Ausgabe zurückgegeben wird, haben Sie bereits eine IAM OIDC Anbieter für Ihren Cluster und Sie können den nächsten Schritt überspringen. Wenn keine Ausgabe zurückgegeben wird, müssen Sie eine erstellen IAM OIDC Anbieter für Ihren Cluster.

  2. Erstellen eines IAM OIDC Identitätsanbieter für Ihren Cluster mit dem folgenden Befehl.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    Anmerkung

    Wenn Sie den EKS VPC Endpunkt aktiviert haben, konnte von dort aus nicht auf den EKS OIDC Service-Endpunkt zugegriffen werdenVPC. Folglich funktionieren Ihre Operationen wie das Erstellen eines OIDC Anbieters mit eksctl in nicht und führen zu einem Timeout, wenn Sie versuchen, eine Anfrage zu stellen https://oidc.eks.region.amazonaws.com. VPC Es folgt ein Beispiel für eine Fehlermeldung:

** server cant find oidc.eks.region.amazonaws.com: NXDOMAIN

Um diesen Schritt abzuschließen, können Sie den Befehl außerhalb des ausführenVPC, z. B. in AWS CloudShell oder auf einem Computer, der mit dem Internet verbunden ist. Alternativ können Sie im Split-Horizon-Resolver einen bedingten Resolver erstellenVPC, z. B. den Route 53-Resolver, um einen anderen Resolver für den OIDC Emittenten zu verwenden URL und den dafür nicht zu verwenden. VPC DNS Ein Beispiel für bedingte Weiterleitung finden Sie in CoreDNS, siehe die EKSAmazon-Funktionsanfrage unter GitHub.

OIDCAnbieter erstellen (AWS Konsole)

  1. Öffnen Sie die EKSAmazon-Konsole.

  2. Wählen Sie im linken Bereich Cluster aus und wählen Sie dann den Namen Ihres Clusters auf der Seite Cluster.

  3. Notieren Sie sich im Abschnitt Details auf der Registerkarte Übersicht den Wert des OpenID Connect-Anbieters URL.

  4. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  5. Wählen Sie im linken Navigationsbereich Identity Providers (Identitätsanbieter) unter Access management (Zugriffsverwaltung) aus. Wenn ein Anbieter aufgeführt ist, der dem URL für Ihren Cluster entspricht, haben Sie bereits einen Anbieter für Ihren Cluster. Wenn kein Anbieter aufgeführt ist, der dem URL für Ihren Cluster entspricht, müssen Sie einen erstellen.

  6. Um einen Anbieter zu erstellen, wählen Sie Add provider (Anbieter hinzufügen) aus.

  7. Wählen Sie als Anbietertyp OpenID Connect .

  8. Geben Sie für Anbieter URL den OIDC Anbieter URL für Ihren Cluster.

  9. Geben Sie für Audience den Wert einsts.amazonaws.com.

  10. (Optional) Fügen Sie beliebige Tags hinzu, z. B. ein Tag, um zu identifizieren, welcher Cluster für diesen Anbieter bestimmt ist.

  11. Wählen Sie Add provider (Anbieter hinzufügen) aus.

Nächster Schritt: Assign IAM Rollen zu Kubernetes Dienstkonten