Recupera le chiavi di firma per convalidare i token OIDC - Amazon EKS

Aiutaci a migliorare questa pagina

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per contribuire a questa guida per l'utente, scegli il GitHub link Modifica questa pagina nel riquadro destro di ogni pagina.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Recupera le chiavi di firma per convalidare i token OIDC

ProjectedServiceAccountTokenKubernetes rilascia un account di servizio Kubernetes per ogni account di servizio Kubernetes. Questo token è un token OIDC, che è inoltre un tipo di token web JSON (JWT). Amazon EKS ospita un endpoint OIDC pubblico per ogni cluster che contiene le chiavi di firma per il token in modo che i sistemi esterni possano convalidarlo.

Per convalidare unProjectedServiceAccountToken, devi recuperare le chiavi di firma pubbliche OIDC, chiamate anche JSON Web Key Set (JWKS). Utilizzate queste chiavi nella vostra applicazione per convalidare il token. Ad esempio, puoi usare la libreria PyJWT Python per convalidare i token usando queste chiavi. Per ulteriori informazioni su, vedere. ProjectedServiceAccountToken Informazioni di base su IAM, Kubernetes e OpenID Connect (OIDC)

Prerequisiti

  • Un provider di AWS Identity and Access Management (IAM) OpenID Connect (OIDC) esistente per il tuo cluster. Per determinare se disponi già di un provider IAM o per crearne uno, consulta Per creare un provider di identità IAM OIDC per il cluster.

  • AWS CLI: uno strumento da riga di comando per lavorare con AWS servizi, incluso Amazon EKS. Per ulteriori informazioni, consulta la Guida per l'utente all'installazione nell'interfaccia a riga di AWS comando. Dopo aver installato la AWS CLI, ti consigliamo di configurarla anche. Per ulteriori informazioni, consulta Configurazione rapida con aws configure nella Guida per l'utente dell'interfaccia a riga di AWS comando.

Procedura

  1. Recupera l'URL OIDC per il tuo cluster Amazon EKS utilizzando la CLI. AWS

    $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer' "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
  2. Recupera la chiave di firma pubblica usando curl o uno strumento simile. Il risultato è un JSON Web Key Set (JWKS).

    Importante

    Amazon EKS limita le chiamate all'endpoint OIDC. È necessario memorizzare nella cache la chiave di firma pubblica. Rispetta l'cache-controlintestazione inclusa nella risposta.

    Importante

    Amazon EKS ruota la chiave di firma OIDC ogni sette giorni.

    $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}