Creación de un proveedor de OIDC de IAM para su clúster - Amazon EKS

Ayude a mejorar esta página

¿Quiere contribuir a esta guía del usuario? Desplácese hasta el final de esta página y seleccione Editar esta página en GitHub. Sus contribuciones ayudarán a que nuestra guía del usuario sea mejor para todos.

Creación de un proveedor de OIDC de IAM para su clúster

Su clúster tiene una URL de emisor de OpenID Connect (OIDC) asociada. Para utilizar roles de AWS Identity and Access Management (IAM) para cuentas de servicio, debe existir un proveedor de OIDC de IAM para la URL del emisor de OIDC de su clúster.

Requisitos previos

  • Un clúster existente de Amazon EKS. Para implementar uno, consulte Introducción a Amazon EKS.

  • La versión 2.12.3 o posterior, o bien, la versión 1.27.160 o posterior de la AWS Command Line Interface (AWS CLI) instalada y configurada en su dispositivo o AWS CloudShell. Para comprobar su versión actual, utilice aws --version | cut -d / -f2 | cut -d ' ' -f1. Los administradores de paquetes tales como yum, apt-get o Homebrew para macOS suelen estar atrasados varias versiones respecto de la versión de la AWS CLI más reciente. Para instalar la versión más reciente, consulte Instalar, actualizar y desinstalar la AWS CLI y Configuración rápida con aws configure en la Guía del usuario de AWS Command Line Interface. La versión de AWS CLI instalada en AWS CloudShell también puede estar atrasada varias versiones respecto de la versión más reciente. Para actualizarla, consulte Instalación de la AWS CLI en el directorio de inicio en la Guía del usuario de AWS CloudShell.

  • La herramienta de línea de comandos de kubectl está instalada en su dispositivo o AWS CloudShell. La versión puede ser la misma o hasta una versión secundaria anterior o posterior a la versión de Kubernetes de su clúster. Por ejemplo, si la versión del clúster es 1.30, puede usar la versión 1.29, 1.30 o 1.31 de kubectl con él. Para instalar o actualizar kubectl, consulte Configuración de kubectl y eksctl.

  • Un archivo config de kubectl existente que contenga la configuración del clúster. Para crear un archivo config de kubectl, consulte Conexión de kubectl a un clúster de EKS mediante la creación de un archivo kubeconfig.

Puede crear un proveedor IAM de OIDC para el clúster mediante eksctl o la AWS Management Console.

eksctl
Requisito previo

La versión 0.191.0 o posterior de la herramienta de línea de comandos eksctl instalada en su dispositivo o AWS CloudShell. Para instalar o actualizar eksctl, consulte la sección de Instalación en la documentación de eksctl.

Para crear un proveedor de identidades OIDC de IAM para su clúster con eksctl

  1. Determine el ID de emisor de OIDC correspondiente a su clúster.

    Recupere el ID de emisor de OIDC de su clúster y almacénelo en una variable. Reemplace my-cluster por su propio valor.

    cluster_name=my-cluster

    oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)

    echo $oidc_id

  2. Determine si ya hay un proveedor de OIDC de IAM con el ID de su clúster en su cuenta.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Si el comando anterior devuelve la salida, significa que ya tiene un proveedor IAM de OIDC para su clúster y puede ir al siguiente paso. Si no se devuelve ninguna salida, debe crear un proveedor de OIDC de IAM para su clúster.

  3. Cree un proveedor de identidades de OIDC de IAM para su clúster con el siguiente comando.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    nota

    Si habilitó el punto de conexión de VPC de EKS, no se podrá acceder al punto de conexión del servicio OIDC de EKS desde dentro de esa VPC. Por lo tanto, no funcionarán operaciones tales como crear un proveedor de OIDC con eksctl en la VPC, y provocarán que se agote el tiempo de espera al intentar solicitar https://oidc.eks.region.amazonaws.com. A continuación se muestra un ejemplo de mensaje de error:

    ** server can't find oidc.eks.region.amazonaws.com: NXDOMAIN

    Para completar este paso, puede ejecutar el comando fuera de la VPC; por ejemplo, en AWS CloudShell o en un equipo conectado a Internet. Como alternativa, puede crear un solucionador condicional de horizonte dividido en la VPC, como Route 53 Resolver, para usar un solucionador diferente para la URL del emisor de OIDC y no usar el DNS de la VPC para ello. Para ver un ejemplo de reenvío condicional en CoreDNS, consulte la solicitud de la característica de Amazon EKS en GitHub.

AWS Management Console
Para crear un proveedor de identidades de OIDC de IAM para su clúster con la AWS Management Console

  1. Abra la consola de Amazon EKS en https://console.aws.amazon.com/eks/home#/clusters.

  2. En el panel de la izquierda, seleccione Clústeres y, a continuación, seleccione el nombre de su clúster en la página Clusters (Clústeres).

  3. En la sección de Details (Detalles) en la pestaña Overview (Resumen), anote el valor de la OpenID Connect provider URL (URL del proveedor de OpenID Connect).

  4. Abra la consola de IAM en https://console.aws.amazon.com/iam/.

  5. En el panel de navegación, elija Identity Providers (Proveedores de identidad) en Access management (Administración de acceso). Si aparece un Proveedor que coincide con la URL de su clúster, ya cuenta con un proveedor para su clúster. Si no aparece un proveedor en la lista que coincida con la URL del clúster, debe crear uno.

  6. Para crear un proveedor, elija Add Provider (Agregar proveedor).

  7. En Provider type (Tipo de proveedor), seleccione OpenID Connect.

  8. En URL del proveedor, ingrese la URL del proveedor de OIDC correspondiente al clúster.

  9. En Audiencia, ingrese sts.amazonaws.com.

  10. (Opcional) Agregue cualquier etiqueta, por ejemplo, una para identificar qué clúster corresponde a este proveedor.

  11. Elija Add Provider (Agregar proveedor).
Siguiente paso

Asignación de roles de IAM a cuentas de servicio de Kubernetes