Erstelle eine IAM OIDC Anbieter für Ihren Cluster - Amazon EKS

Hilf mit, diese Seite zu verbessern

Möchten Sie zu diesem Benutzerhandbuch beitragen? Scrollen Sie zum Ende dieser Seite und wählen Sie Diese Seite bearbeiten am aus GitHub. Ihre Beiträge werden dazu beitragen, unser Benutzerhandbuch für alle zu verbessern.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstelle eine IAM OIDC Anbieter für Ihren Cluster

Ihr Cluster hat eine OpenID Connect (OIDC) Damit URL verbundener Emittent. Um Rollen AWS Identity and Access Management (IAM) für Dienstkonten zu verwenden, IAM OIDC Für den Ihres Clusters muss ein Anbieter existieren OIDC Emittent. URL

Voraussetzungen

  • Ein vorhandener EKS Amazon-Cluster. Informationen zum Bereitstellen finden Sie unter Erste Schritte mit Amazon EKS.

  • Version 2.12.3 oder höher oder Version 1.27.160 oder höher von AWS Command Line Interface (AWS CLI), die auf Ihrem Gerät installiert und konfiguriert ist, oder AWS CloudShell. Um Ihre aktuelle Version zu überprüfen, verwenden Sie aws --version | cut -d / -f2 | cut -d ' ' -f1. Paketmanager wieyum,apt-get, oder Homebrew for macOS liegen oft mehrere Versionen hinter der neuesten Version von AWS CLI. Informationen zur Installation der neuesten Version finden Sie unter Installation, Aktualisierung und Deinstallation von AWS CLI und Schnellkonfiguration mit aws configure im AWS Command Line Interface -Benutzerhandbuch. Die AWS CLI Version, in der installiert ist, AWS CloudShell kann auch mehrere Versionen hinter der neuesten Version liegen. Informationen zur Aktualisierung finden Sie unter Installation AWS CLI in Ihrem Home-Verzeichnis im AWS CloudShell Benutzerhandbuch.

  • Das kubectl-Befehlszeilen-Tool ist auf Ihrem Gerät oder in der AWS CloudShell installiert. Bei der Version kann es sich um dieselbe oder nur um eine Nebenversion handeln, die früher oder später als die Kubernetes Version Ihres Clusters. Wenn Ihre Clusterversion beispielsweise 1.30 ist, können Sie kubectl-Version 1.29, 1.30, oder 1.31 damit verwenden. Informationen zum Installieren oder Aktualisieren von kubectl finden Sie unter Einrichten kubectl und eksctl.

  • Eine vorhandene kubectl config-Datei, die Ihre Clusterkonfiguration enthält. Informationen zum Erstellen einer kubectl config-Datei finden Sie unter Verbinden kubectl zu einem EKS Cluster durch Erstellen eines kubeconfig file.

Sie können eine erstellen IAM OIDC Anbieter für Ihren Cluster mit eksctl oder AWS Management Console.

eksctl
Voraussetzung

Version 0.191.0 oder höher des eksctl-Befehlszeilen-Tools, das auf Ihrem Computer oder in der AWS CloudShell installiert ist. Informationen zum Installieren und Aktualisieren von eksctl finden Sie in der Dokumentation zu eksctl unter Installation.

Um ein zu erstellen IAM OIDC Identitätsanbieter für Ihren Cluster mit eksctl

  1. Ermitteln Sie den OIDC Aussteller-ID für Ihren Cluster.

    Rufen Sie die Ihres Clusters ab OIDC Aussteller-ID und speichern Sie sie in einer Variablen. Ersetzen Sie my-cluster durch Ihren eigenen Wert.

    cluster_name=my-cluster

    oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)

    echo $oidc_id

  2. Stellen Sie fest, ob ein IAM OIDC Der Anbieter mit der Aussteller-ID Ihres Clusters ist bereits in Ihrem Konto enthalten.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Wenn die Ausgabe zurückgegeben wird, haben Sie bereits eine IAM OIDC Anbieter für Ihren Cluster und Sie können den nächsten Schritt überspringen. Wenn keine Ausgabe zurückgegeben wird, müssen Sie eine erstellen IAM OIDC Anbieter für Ihren Cluster.

  3. Erstellen Sie ein IAM OIDC Identitätsanbieter für Ihren Cluster mit dem folgenden Befehl.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    Anmerkung

    Wenn Sie den EKS VPC Endpunkt aktiviert haben, konnte von dort aus nicht auf den EKS OIDC Service-Endpunkt zugegriffen werdenVPC. Folglich funktionieren Ihre Operationen wie das Erstellen eines OIDC Anbieters mit eksctl in nicht und führen zu einem Timeout, wenn Sie versuchen, eine Anfrage zu stellenhttps://oidc.eks.region.amazonaws.com. VPC Es folgt ein Beispiel für eine Fehlermeldung:

    ** server can't find oidc.eks.region.amazonaws.com: NXDOMAIN

    Um diesen Schritt abzuschließen, können Sie den Befehl außerhalb des ausführenVPC, z. B. in AWS CloudShell oder auf einem Computer, der mit dem Internet verbunden ist. Alternativ können Sie im Split-Horizon-Resolver einen bedingten Resolver erstellenVPC, z. B. den Route 53-Resolver, um einen anderen Resolver für den OIDC Emittenten zu verwenden URL und den dafür nicht zu verwenden. VPC DNS Ein Beispiel für bedingte Weiterleitung finden Sie in CoreDNS, siehe die EKSAmazon-Funktionsanfrage unter GitHub.

AWS Management Console
Um ein zu erstellen IAM OIDC Identitätsanbieter für Ihren Cluster mit dem AWS Management Console

  1. Öffnen Sie die EKS Amazon-Konsole unter https://console.aws.amazon.com/eks/home#/clusters.

  2. Wählen Sie im linken Bereich Cluster aus und wählen Sie dann den Namen Ihres Clusters auf der Seite Cluster.

  3. Notieren Sie sich im Abschnitt Details auf der Registerkarte Übersicht den Wert des OpenID Connect-Anbieters URL.

  4. Öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  5. Wählen Sie im linken Navigationsbereich Identity Providers (Identitätsanbieter) unter Access management (Zugriffsverwaltung) aus. Wenn ein Anbieter aufgeführt ist, der dem URL für Ihren Cluster entspricht, haben Sie bereits einen Anbieter für Ihren Cluster. Wenn kein Anbieter aufgeführt ist, der dem URL für Ihren Cluster entspricht, müssen Sie einen erstellen.

  6. Um einen Anbieter zu erstellen, wählen Sie Add provider (Anbieter hinzufügen) aus.

  7. Wählen Sie als Anbietertyp OpenID Connect.

  8. Geben Sie für Anbieter URL den OIDC Anbieter URL für Ihren Cluster.

  9. Geben Sie für Audience den Wert einsts.amazonaws.com.

  10. (Optional) Fügen Sie beliebige Tags hinzu, z. B. ein Tag, um zu identifizieren, welcher Cluster für diesen Anbieter bestimmt ist.

  11. Wählen Sie Add provider (Anbieter hinzufügen) aus.
Nächster Schritt

Assign IAM Rollen zu Kubernetes Dienstkonten