Helfen Sie mit, diese Seite zu verbessern
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Möchten Sie zu diesem Benutzerhandbuch beitragen? Wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet. Ihre Beiträge werden dazu beitragen, dass unser Benutzerhandbuch für alle besser wird.
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Kubernetes gibt jeweils ein Problem ProjectedServiceAccountToken
Kubernetes
Service Account. Dieses Token ist ein OIDC Token, das außerdem eine Art von ist JSON web token (JWT). Amazon EKS hostet ein Publikum OIDC Endpunkt für jeden Cluster, der die Signaturschlüssel für das Token enthält, sodass externe Systeme es validieren können.
Um einen zu validierenProjectedServiceAccountToken
, müssen Sie den abrufen OIDC öffentliche Signaturschlüssel, auch bekannt als JSON Web Key Set (JWKS). Verwenden Sie diese Schlüssel in Ihrer Anwendung, um das Token zu validieren. Sie können beispielsweise die PyjWT-Python-BibliothekProjectedServiceAccountToken
. IAM, Kubernetes, und OpenID Connect (OIDC) Hintergrundinformationen
Voraussetzungen
-
Ein bestehendes AWS Identity and Access Management (IAM) OpenID Connect (OIDC) Anbieter für Ihren Cluster. Informationen zum Feststellen, ob Sie bereits über einen verfügen oder einen erstellen müssen, finden Sie unter Erstellen eines IAM OIDC Anbieter für Ihren Cluster.
-
AWS CLI — Ein Befehlszeilentool für die Arbeit mit AWS Services, einschließlich Amazon EKS. Weitere Informationen finden Sie unter Installation im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle. Wir empfehlen, dass Sie die AWS CLI nach der Installation ebenfalls konfigurieren. Weitere Informationen finden Sie unter Schnellkonfiguration mit aws configure im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle.
Verfahren
-
Rufen Sie das ab OIDC URL für Ihren Amazon EKS-Cluster mithilfe der AWS CLI.
$ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer' "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
-
Rufen Sie den öffentlichen Signaturschlüssel ab mit curl, oder ein ähnliches Tool. Das Ergebnis ist ein JSON Web Key Set (JWKS
). Wichtig
Amazon EKS drosselt Anrufe an OIDC Endpunkt. Sie sollten den öffentlichen Signaturschlüssel zwischenspeichern. Respektieren Sie den in der Antwort enthaltenen
cache-control
Header.Wichtig
Amazon EKS rotiert die OIDC Signaturschlüssel alle sieben Tage.
$ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}