Rufen Sie Signaturschlüssel ab, um OIDC-Token zu validieren - Amazon EKS
VoraussetzungenVerfahren

Hilf mit, diese Seite zu verbessern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wenn Sie zu diesem Benutzerhandbuch beitragen möchten, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rufen Sie Signaturschlüssel ab, um OIDC-Token zu validieren

Kubernetes gibt für jedes Kubernetes-Servicekonto eine aus. ProjectedServiceAccountToken Dieses Token ist ein OIDC-Token, bei dem es sich außerdem um eine Art JSON-Webtoken (JWT) handelt. Amazon EKS hostet für jeden Cluster einen öffentlichen OIDC-Endpunkt, der die Signaturschlüssel für das Token enthält, sodass externe Systeme es validieren können.

Um einen zu validierenProjectedServiceAccountToken, müssen Sie die öffentlichen OIDC-Signaturschlüssel abrufen, die auch als JSON Web Key Set (JWKS) bezeichnet werden. Verwenden Sie diese Schlüssel in Ihrer Anwendung, um das Token zu validieren. Sie können beispielsweise die Python-Bibliothek PyJWT verwenden, um Token mit diesen Schlüsseln zu validieren. Weitere Informationen zu finden Sie unterProjectedServiceAccountToken. Hintergrundinformationen zu IAM, Kubernetes und OpenID Connect (OIDC)

Voraussetzungen

  • Ein vorhandener AWS Identity and Access Management (IAM) OpenID Connect (OIDC) -Anbieter für Ihren Cluster. Informationen zum Feststellen, ob Sie bereits über einen verfügen oder einen erstellen müssen, finden Sie unter Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster.

  • AWS CLI — Ein Befehlszeilentool für die Arbeit mit AWS Services, einschließlich Amazon EKS. Weitere Informationen finden Sie unter Installation im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle. Wir empfehlen, dass Sie die AWS CLI nach der Installation ebenfalls konfigurieren. Weitere Informationen finden Sie unter Schnellkonfiguration mit aws configure im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle.

Verfahren

  1. Rufen Sie die OIDC-URL für Ihren Amazon EKS-Cluster mithilfe der AWS CLI ab.

    $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer'
"https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"

  2. Rufen Sie den öffentlichen Signaturschlüssel mit curl oder einem ähnlichen Tool ab. Das Ergebnis ist ein JSON Web Key Set (JWKS).

    Wichtig

    Amazon EKS drosselt Anrufe an den OIDC-Endpunkt. Sie sollten den öffentlichen Signaturschlüssel zwischenspeichern. Respektieren Sie den in der Antwort enthaltenen cache-control Header.

    Wichtig

    Amazon EKS rotiert den OIDC-Signaturschlüssel alle sieben Tage.

    $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
{"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}