AWS-EKS-03--创建 IAM OIDC 身份提供商
摘要
-
本文介绍为EKS集群创建 IAM OIDC 身份提供商
-
参考资料:
为集群创建 IAM OIDC 身份提供商
-
要使用某些 Amazon EKS 附加组件,或启用个别 Kubernetes 工作负载以具有特定 AWS Identity and Access Management(IAM)权限,请为集群创建 IAM OpenID Connect(OIDC)提供商。
-
只需为集群创建一次 IAM OIDC 提供商。
-
确定您的账户中是否已存在具有您的集群 ID 的 IAM OIDC 提供商
1 | # 确定集群是否拥有现有 IAM OIDC 提供商。检索集群的 OIDC 提供商 ID 并将其存储在变量中 |
-
使用以下命令为您的集群创建 IAM OIDC 身份提供商
1 | $ eksctl utils associate-iam-oidc-provider --cluster eks-lexing --profile eks-us-west-2 --approve |
查看OIDC元数据
-
在集群的 OIDC 提供商 URL后面加上
/.well-known/openid-configuration
1 | $ curl https://oidc.eks.us-west-2.amazonaws.com/id/1029FF88CB8725555A1CC65D44191A56/.well-known/openid-configuration -s| python -m json.tool |
-
然后查看
jwks_uri
中的url,这里的keys就是 IAM 用来验证 EKS service account 发送过来的 ID_token 是否有效的。
1 | curl https://oidc.eks.us-west-2.amazonaws.com/id/1029FF88CB8725555A1CC65D44191A56/keys -s | python -m json.tool |