Creación de un proveedor de OIDC de IAM para su clúster - Amazon EKS
Crear un proveedor de OIDC (eksctl)Crear un proveedor de OIDC (Consola de AWS)

Creación de un proveedor de OIDC de IAM para su clúster

Su clúster tiene una URL de emisor de OpenID Connect (OIDC) asociada. Para utilizar roles de AWS Identity and Access Management (IAM) para cuentas de servicio, debe existir un proveedor de OIDC de IAM para la URL del emisor de OIDC de su clúster.

  • Un clúster existente de Amazon EKS. Para implementar uno, consulte Introducción a Amazon EKS.

  • La versión 2.12.3 o posterior, o bien, la versión 1.27.160 o posterior de la AWS interfaz de la línea de comandos (AWS CLI) instalada y configurada en su dispositivo o AWS CloudShell. Para comprobar su versión actual, utilice aws --version | cut -d / -f2 | cut -d ' ' -f1. Los administradores de paquetes tales como yum, apt-get o Homebrew para macOS suelen estar atrasados varias versiones respecto de la versión de la AWS CLI más reciente. Para instalar la versión más reciente, consulte Instalación y Configuración rápida con aws configure en la AWS Guía del usuario de la Interfaz de la línea de comandos. La versión de AWS CLI instalada en AWS CloudShell también puede estar atrasada varias versiones respecto de la versión más reciente. Para actualizarla, consulte Instalación de AWS CLI en su directorio de usuarios principal en la Guía del usuario de AWS CloudShell.

  • La herramienta de línea de comandos de kubectl está instalada en su dispositivo o AWS CloudShell. La versión puede ser la misma o hasta una versión secundaria anterior o posterior a la versión de Kubernetes de su clúster. Por ejemplo, si la versión del clúster es 1.29, puede usar la versión 1.28, 1.29 o 1.30 de kubectl con él. Para instalar o actualizar kubectl, consulte Configure kubectl y eksctl.

  • Un archivo config de kubectl existente que contenga la configuración del clúster. Para crear un archivo config de kubectl, consulte Conexión de kubectl a un clúster de EKS mediante la creación de un archivo kubeconfig.

Puede crear un proveedor IAM de OIDC para el clúster mediante eksctl o la AWS Management Console.

Crear un proveedor de OIDC (eksctl)

  1. La versión 0.194.0 o posterior de la herramienta de línea de comandos de eksctl instalada en su dispositivo o AWS CloudShell. Para instalar o actualizar eksctl, consulte la sección de Instalación en la documentación de eksctl.

  2. Determine el ID de emisor de OIDC correspondiente a su clúster.

    Recupere el ID de emisor de OIDC de su clúster y almacénelo en una variable. Reemplace my-cluster con su propio valor.

    cluster_name=my-cluster
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id

  1. Determine si ya hay un proveedor de OIDC de IAM con el ID de su clúster en su cuenta.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Si el comando anterior devuelve la salida, significa que ya tiene un proveedor IAM de OIDC para su clúster y puede ir al siguiente paso. Si no se devuelve ninguna salida, debe crear un proveedor de OIDC de IAM para su clúster.

  2. Cree un proveedor de identidades de OIDC de IAM para su clúster con el siguiente comando.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    nota

    Si habilitó el punto de conexión de VPC de EKS, no se podrá acceder al punto de conexión del servicio OIDC de EKS desde dentro de esa VPC. Por lo tanto, no funcionarán operaciones tales como crear un proveedor de OIDC con eksctl en la VPC, y provocarán que se agote el tiempo de espera al intentar solicitar https://oidc.eks.region.amazonaws.com. A continuación se muestra un ejemplo de mensaje de error:

** server cant find oidc.eks.region.amazonaws.com: NXDOMAIN

Para completar este paso, puede ejecutar el comando fuera de la VPC; por ejemplo, en AWS CloudShell o en un equipo conectado a Internet. Como alternativa, puede crear un solucionador condicional de horizonte dividido en la VPC, como Route 53 Resolver, para usar un solucionador diferente para la URL del emisor de OIDC y no usar el DNS de la VPC para ello. Para ver un ejemplo de reenvío condicional en CoreDNS, consulte la solicitud de la característica de Amazon EKS en GitHub.

Crear un proveedor de OIDC (Consola de AWS)

  1. Abra la consola de Amazon EKS.

  2. En el panel de la izquierda, seleccione Clústeres y, a continuación, seleccione el nombre de su clúster en la página Clusters (Clústeres).

  3. En la sección de Details (Detalles) en la pestaña Overview (Resumen), anote el valor de la OpenID Connect provider URL (URL del proveedor de OpenID Connect).

  4. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  5. En el panel de navegación, elija Identity Providers (Proveedores de identidad) en Access management (Administración de acceso). Si aparece un Proveedor que coincide con la URL de su clúster, ya cuenta con un proveedor para su clúster. Si no aparece un proveedor en la lista que coincida con la URL del clúster, debe crear uno.

  6. Para crear un proveedor, elija Add Provider (Agregar proveedor).

  7. En Tipo de proveedor, seleccione OpenID Connect .

  8. En URL del proveedor, ingrese la URL del proveedor de OIDC correspondiente al clúster.

  9. En Audiencia, ingrese sts.amazonaws.com.

  10. (Opcional) Agregue cualquier etiqueta, por ejemplo, una para identificar qué clúster corresponde a este proveedor.

  11. Elija Add Provider (Agregar proveedor).

Paso siguiente: Asignación de roles de IAM a cuentas de servicio de Kubernetes