Aidez à améliorer cette page
Vous souhaitez contribuer à ce guide de l'utilisateur ? Faites défiler cette page vers le bas et sélectionnez Modifier cette page sur GitHub. Vos contributions aideront à améliorer notre guide de l'utilisateur pour tous.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Récupérez les clés de signature pour valider les jetons OIDC
Kubernetesémet un ProjectedServiceAccountToken pour chacun KubernetesService
Account. Ce jeton est un OIDC jeton, qui est en outre un type deJSON
web token (JWT). Amazon EKS héberge un point de OIDC terminaison public pour chaque cluster qui contient les clés de signature du jeton afin que les systèmes externes puissent le valider.
Pour valider unProjectedServiceAccountToken, vous devez récupérer les clés de signature OIDC publiques, également appelées. JSON Web Key Set (JWKS) Utilisez ces clés dans votre application pour valider le jeton. Par exemple, vous pouvez utiliser la bibliothèque Python PyJWTProjectedServiceAccountToken, voirIAM, Kubernetes, et OpenID Connect (OIDC) informations générales.
Prérequis
-
Un fournisseur AWS Identity and Access Management (IAM) OpenID Connect (OIDC) existant pour votre cluster. Pour déterminer si vous en avez déjà un, ou pour en créer un, consultez Créez un IAM OIDC fournisseur pour votre cluster.
-
AWS CLI— Un outil de ligne de commande permettant de travailler avec AWS des services, notamment Amazon EKS. Pour plus d'informations, consultez Installation, mise à jour et désinstallation d' AWS CLI dans le Guide de l'utilisateur AWS Command Line Interface . Après l'avoir installé AWS CLI, nous vous recommandons de le configurer également. Pour plus d'informations, consultez Configuration rapide avec
aws configuredans le Guide de l'utilisateur AWS Command Line Interface .
Récupérer les clés de signature OIDC publiques ()AWS CLI
-
Récupérez l'OIDCURL de votre cluster Amazon EKS à l'aide du AWS CLI.
$aws eks describe-cluster --name"my-cluster--query 'cluster.identity.oidc.issuer'https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE" -
Récupérez la clé de signature publique à l'aide curl d'un outil similaire ou d'un outil similaire. Le résultat est un JSON Web Key Set (JWKS)
. Important
Amazon EKS limite les appels vers le point de terminaison. OIDC Vous devez mettre en cache la clé de signature publique. Respectez l'
cache-controlen-tête inclus dans la réponse.Important
Amazon EKS fait pivoter la clé OIDC de signature tous les sept jours.
$curl{"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
