Buat IAM OIDC penyedia untuk klaster Anda - Amazon EKS
Buat OIDC penyedia (eksctl)Buat OIDC penyedia (AWS Konsol)

Bantu tingkatkan halaman ini

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ingin berkontribusi pada panduan pengguna ini? Pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat IAM OIDC penyedia untuk klaster Anda

Cluster Anda memiliki OpenID Connect (OIDC) penerbit URL yang terkait dengannya. Untuk menggunakan peran AWS Identity and Access Management (IAM) untuk akun layanan, IAM OIDC penyedia harus ada untuk cluster Anda OIDC penerbit. URL

  • EKSCluster Amazon yang ada. Untuk menyebarkan satu, lihatMemulai dengan Amazon EKS.

  • Versi 2.12.3 atau yang lebih baru atau versi 1.27.160 atau yang lebih baru dari AWS Command Line Interface (AWS CLI) diinstal dan dikonfigurasi pada perangkat Anda atau AWS CloudShell. Untuk memeriksa versi Anda saat ini, gunakanaws --version | cut -d / -f2 | cut -d ' ' -f1. Package manager sepertiyum,apt-get, atau Homebrew untuk macOS sering beberapa versi di belakang versi terbaru dari AWS CLI. Untuk menginstal versi terbaru, lihat Menginstal dan Konfigurasi cepat dengan aws configure di Panduan Pengguna Antarmuka Baris AWS Perintah. AWS CLIVersi yang diinstal AWS CloudShell mungkin juga beberapa versi di belakang versi terbaru. Untuk memperbaruinya, lihat Menginstal AWS CLI ke direktori home Anda di Panduan AWS CloudShell Pengguna.

  • Alat baris kubectl perintah diinstal pada perangkat Anda atau AWS CloudShell. Versi dapat sama dengan atau hingga satu versi minor lebih awal atau lebih lambat dari versi Kubernetes versi cluster Anda. Misalnya, jika versi cluster Anda1.29, Anda dapat menggunakan kubectl versi1.28,1.29, atau 1.30 dengan itu. Untuk menginstal atau memutakhirkan kubectl, lihat Mengatur kubectl dan eksctl.

  • kubectlconfigFile yang sudah ada yang berisi konfigurasi cluster Anda. Untuk membuat kubectl config file, lihatHubungkan kubectl ke cluster EKS dengan membuat kubeconfig file.

Anda dapat membuat IAM OIDC penyedia untuk cluster Anda menggunakan eksctl atau AWS Management Console.

Buat OIDC penyedia (eksctl)

  1. Versi 0.199.0 atau yang lebih baru dari alat baris eksctl perintah yang diinstal pada perangkat Anda atau AWS CloudShell. Untuk menginstal atau memperbaruieksctl, lihat Instalasi dalam eksctl dokumentasi.

  2. Tentukan OIDC ID penerbit untuk klaster Anda.

    Ambil klaster Anda OIDC ID penerbit dan simpan dalam variabel. Ganti my-cluster dengan nilai Anda sendiri.

    cluster_name=my-cluster
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id

  1. Tentukan apakah sebuah IAM OIDC penyedia dengan ID penerbit klaster Anda sudah ada di akun Anda.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Jika output dikembalikan, maka Anda sudah memiliki IAM OIDC penyedia untuk cluster Anda dan Anda dapat melewati langkah berikutnya. Jika tidak ada output yang dikembalikan, maka Anda harus membuat IAM OIDC penyedia untuk cluster Anda.

  2. Buat IAM OIDC penyedia identitas untuk cluster Anda dengan perintah berikut.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    catatan

    Jika Anda mengaktifkan EKS VPC titik akhir, titik akhir EKS OIDC layanan tidak dapat diakses dari dalamnya. VPC Akibatnya, operasi Anda seperti membuat OIDC penyedia dengan eksctl in tidak VPC akan berfungsi dan akan menghasilkan batas waktu saat mencoba meminta. https://oidc.eks.region.amazonaws.com Contoh pesan kesalahan berikut:

** server cant find oidc.eks.region.amazonaws.com: NXDOMAIN

Untuk menyelesaikan langkah ini, Anda dapat menjalankan perintah di luarVPC, misalnya di dalam AWS CloudShell atau di komputer yang terhubung ke internet. Atau, Anda dapat membuat resolver bersyarat split-horizon diVPC, seperti Route 53 Resolver untuk menggunakan resolver yang berbeda untuk Penerbit dan tidak menggunakannya untuk itu. OIDC URL VPC DNS Sebagai contoh penerusan bersyarat di CoreDNS, lihat permintaan EKS fitur Amazon di GitHub.

Buat OIDC penyedia (AWS Konsol)

  1. Buka EKSkonsol Amazon.

  2. Di panel kiri, pilih Cluster, lalu pilih nama cluster Anda di halaman Clusters.

  3. Di bagian Detail pada tab Ikhtisar, perhatikan nilai penyedia OpenID Connect. URL

  4. Buka konsol IAM di https://console.aws.amazon.com/iam/.

  5. Di panel navigasi kiri, pilih Penyedia Identitas di bawah Manajemen akses. Jika Penyedia terdaftar yang cocok dengan klaster Anda, maka Anda sudah memiliki penyedia untuk klaster Anda. URL Jika penyedia tidak terdaftar yang cocok dengan klaster Anda, maka Anda harus membuatnya. URL

  6. Untuk membuat penyedia, pilih Tambah penyedia.

  7. Untuk jenis Penyedia, pilih OpenID Connect .

  8. Untuk Provider URL, masukkan OIDC penyedia URL untuk cluster Anda.

  9. Untuk Audiens, masukkansts.amazonaws.com.

  10. (Opsional) Tambahkan tag apa pun, misalnya tag untuk mengidentifikasi cluster mana untuk penyedia ini.

  11. Pilih Tambah penyedia.

Langkah selanjutnya: Menetapkan IAM peran untuk Kubernetes akun layanan