Récupérez les clés de signature pour valider OIDC jetons - Amazon EKS
PrérequisProcédure

Aidez à améliorer cette page

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous souhaitez contribuer à ce guide de l'utilisateur ? Choisissez le GitHub lien Modifier cette page sur qui se trouve dans le volet droit de chaque page. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tout le monde.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Récupérez les clés de signature pour valider OIDC jetons

Kubernetes émet un ProjectedServiceAccountToken à chacun Kubernetes Service Account. Ce jeton est un OIDC jeton, qui est en outre un type de JSON web token (JWT). Amazon EKS héberge un public OIDC point de terminaison pour chaque cluster contenant les clés de signature du jeton afin que les systèmes externes puissent le valider.

Pour valider unProjectedServiceAccountToken, vous devez récupérer le OIDC clés de signature publiques, également appelées JSON Web Key Set (JWKS). Utilisez ces clés dans votre application pour valider le jeton. Par exemple, vous pouvez utiliser la bibliothèque Python PyJWT pour valider des jetons à l'aide de ces clés. Pour plus d'informations sur leProjectedServiceAccountToken, voirIAM, Kubernetes, et OpenID Connect (OIDC) informations générales.

Prérequis

  • Une solution existante de gestion des AWS identités et des accès (IAM) OpenID Connect (OIDC) fournisseur pour votre cluster. Pour déterminer si vous en avez déjà un, ou pour en créer un, consultez Créer un IAM OIDC fournisseur pour votre cluster.

  • AWS CLI : outil de ligne de commande permettant de travailler avec AWS des services, notamment Amazon EKS. Pour plus d'informations, consultez la section Installation dans le guide de l'utilisateur de l'interface de ligne de AWS commande. Après avoir installé la AWS CLI, nous vous recommandons de la configurer également. Pour plus d'informations, consultez la section Configuration rapide avec aws configure dans le Guide de l'utilisateur de l'interface de ligne de AWS commande.

Procédure

  1. Récupérez le OIDC URL de votre cluster Amazon EKS à l'aide de la AWS CLI.

    $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer'
"https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"

  2. Récupérez la clé de signature publique à l'aide de curl, ou un outil similaire. Le résultat est un ensemble de clés Web JSON (JWKS).

    Important

    Amazon EKS limite les appels vers OIDC point final. Vous devez mettre en cache la clé de signature publique. Respectez l'cache-controlen-tête inclus dans la réponse.

    Important

    Amazon EKS fait pivoter le OIDC signature de la clé tous les sept jours.

    $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
{"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}