Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Recupera le chiavi di firma per convalidare i token OIDC

Modalità Focus
Recupera le chiavi di firma per convalidare i token OIDC - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

ProjectedServiceAccountTokenKubernetes rilascia un account di servizio Kubernetes per ogni account di servizio Kubernetes. Questo token è un token OIDC, che è inoltre un tipo di token web JSON (JWT). Amazon EKS ospita un endpoint OIDC pubblico per ogni cluster che contiene le chiavi di firma per il token in modo che i sistemi esterni possano convalidarlo.

Per convalidare unProjectedServiceAccountToken, devi recuperare le chiavi di firma pubbliche OIDC, chiamate anche JSON Web Key Set (JWKS). Utilizzate queste chiavi nella vostra applicazione per convalidare il token. Ad esempio, puoi usare la libreria PyJWT Python per convalidare i token usando queste chiavi. Per ulteriori informazioni su, vedere. ProjectedServiceAccountToken Informazioni di base su IAM, Kubernetes e OpenID Connect (OIDC)

Prerequisiti

  • Un provider di AWS Identity and Access Management (IAM) OpenID Connect (OIDC) esistente per il tuo cluster. Per determinare se disponi già di un provider IAM o per crearne uno, consulta Per creare un provider di identità IAM OIDC per il cluster.

  • AWS CLI: uno strumento da riga di comando per lavorare con AWS servizi, incluso Amazon EKS. Per ulteriori informazioni, consulta la Guida per l'utente all'installazione nell'interfaccia a riga di AWS comando. Dopo aver installato la AWS CLI, ti consigliamo di configurarla anche. Per ulteriori informazioni, consulta Configurazione rapida con aws configure nella Guida per l'utente dell'interfaccia a riga di AWS comando.

Procedura

  1. Recupera l'URL OIDC per il tuo cluster Amazon EKS utilizzando la CLI. AWS

    $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer' "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
  2. Recupera la chiave di firma pubblica usando curl o uno strumento simile. Il risultato è un JSON Web Key Set (JWKS).

    Importante

    Amazon EKS limita le chiamate all'endpoint OIDC. È necessario memorizzare nella cache la chiave di firma pubblica. Rispetta l'cache-controlintestazione inclusa nella risposta.

    Importante

    Amazon EKS ruota la chiave di firma OIDC ogni sette giorni.

    $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}

In questa pagina

Argomento successivo:

Pod Identity

Argomento precedente:

Supportato SDKs
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.