Bantu tingkatkan halaman ini
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Ingin berkontribusi pada panduan pengguna ini? Pilih Edit halaman ini pada GitHub tautan yang terletak di panel kanan setiap halaman. Kontribusi Anda akan membantu membuat panduan pengguna kami lebih baik untuk semua orang.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kubernetes masalah a ProjectedServiceAccountToken
untuk masing-masing Kubernetes
Service Account. Token ini adalah OIDC token, yang selanjutnya merupakan jenis JSON web token (JWT). Amazon EKS menjadi tuan rumah publik OIDC endpoint untuk setiap cluster yang berisi kunci penandatanganan untuk token sehingga sistem eksternal dapat memvalidasinya.
Untuk memvalidasi aProjectedServiceAccountToken
, Anda perlu mengambil OIDC kunci penandatanganan publik, juga disebut JSON Web Key Set (JWKS). Gunakan kunci ini dalam aplikasi Anda untuk memvalidasi token. Misalnya, Anda dapat menggunakan pustaka PyjWT PythonProjectedServiceAccountToken
, lihatIAM, Kubernetes, dan OpenID Connect (OIDC) informasi latar belakang.
Prasyarat
-
AWS Identity and Access Management (IAM) yang sudah ada OpenID Connect (OIDC) penyedia untuk cluster Anda. Untuk menentukan apakah Anda sudah memiliki satu, atau harus membuat satu, lihat Buat IAM OIDC penyedia untuk klaster Anda.
-
AWS CLI — Alat baris perintah untuk bekerja dengan AWS layanan, termasuk Amazon EKS. Untuk informasi selengkapnya, lihat Menginstal di Panduan Pengguna Antarmuka Baris AWS Perintah. Setelah menginstal AWS CLI, kami sarankan Anda juga mengkonfigurasinya. Untuk informasi selengkapnya, lihat Konfigurasi cepat dengan aws configure di Panduan Pengguna Antarmuka Baris AWS Perintah.
Prosedur
-
Ambil OIDC URL untuk klaster Amazon EKS Anda menggunakan AWS CLI.
$ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer' "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
-
Ambil kunci penandatanganan publik menggunakan curl, atau alat serupa. Hasilnya adalah JSON Web Key Set (JWKS
). penting
Amazon EKS membatasi panggilan ke OIDC titik akhir. Anda harus men-cache kunci penandatanganan publik. Hormati
cache-control
header yang termasuk dalam respons.penting
Amazon EKS memutar OIDC menandatangani kunci setiap tujuh hari.
$ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}