Recupera le chiavi di firma da convalidare OIDC gettoni - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Vuoi contribuire a questa guida per l'utente? Scegli il GitHub link Modifica questa pagina che si trova nel riquadro destro di ogni pagina. I tuoi contributi contribuiranno a rendere la nostra guida utente migliore per tutti.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Recupera le chiavi di firma da convalidare OIDC gettoni

Kubernetes problemi a a ciascuno ProjectedServiceAccountToken Kubernetes Service Account. Questo token è un OIDC token, che è inoltre un tipo di JSON web token (JWT). Amazon EKS ospita un pubblico OIDC endpoint per ogni cluster che contiene le chiavi di firma per il token in modo che sistemi esterni possano convalidarlo.

Per convalidare unProjectedServiceAccountToken, è necessario recuperare il OIDC chiavi di firma pubbliche, chiamate anche JSON Web Key Set (JWKS). Usa queste chiavi nella tua applicazione per convalidare il token. Ad esempio, puoi usare la libreria PyJWT Python per convalidare i token usando queste chiavi. Per ulteriori informazioni su, vedere. ProjectedServiceAccountToken IAM, Kubernetese OpenID Connect (OIDC) informazioni di base

Prerequisiti

  • Un AWS Identity and Access Management (IAM) esistente OpenID Connect (OIDC) provider per il tuo cluster. Per determinare se disponi già di un provider IAM o per crearne uno, consulta Creazione di un IAM OIDC provider per il tuo cluster.

  • AWS CLI: uno strumento da riga di comando per lavorare con AWS servizi, incluso Amazon EKS. Per ulteriori informazioni, consulta la Guida per l'utente all'installazione nell'interfaccia a riga di AWS comando. Dopo aver installato la AWS CLI, ti consigliamo di configurarla anche. Per ulteriori informazioni, consulta Configurazione rapida con aws configure nella Guida per l'utente dell'interfaccia a riga di AWS comando.

Procedura

  1. Recupera il OIDC URL per il tuo cluster Amazon EKS utilizzando la AWS CLI.

    $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer' "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
  2. Recupera la chiave di firma pubblica utilizzando curlo uno strumento simile. Il risultato è un JSON Web Key Set (JWKS).

    Importante

    Amazon EKS limita le chiamate verso OIDC endpoint. È necessario memorizzare nella cache la chiave di firma pubblica. Rispetta l'cache-controlintestazione inclusa nella risposta.

    Importante

    Amazon EKS ruota il OIDC chiave di firma ogni sette giorni.

    $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}