将 CreateOpenIdConnectProvider 与 Amazon SDK 或命令行工具配合使用

创建 OpenID Connect（OIDC）提供者

要创建 OpenID Connect（OIDC）提供者，建议使用 --cli-input-json 参数来传递包含所需参数的 JSON 文件。创建 OIDC 提供者时，必须传递提供者的 URL，而且 URL 必须以 https:// 开头。将 URL 作为命令行参数传递可能很困难，因为冒号（:）和正斜杠（/）字符在某些命令行环境中具有特殊含义。使用 --cli-input-json 参数可以绕过这一限制。

要使用 --cli-input-json 参数，请先使用带 --generate-cli-skeleton 参数的 create-open-id-connect-provider 命令，如以下示例所示。

aws iam create-open-id-connect-provider \
    --generate-cli-skeleton > create-open-id-connect-provider.json

前述命令创建了一个名为 create-open-id-connect-provider.json 的 JSON 文件，您可以用该文件来填写后续 create-open-id-connect-provider 命令的信息。例如：

{
    "Url": "https://server.example.com",
    "ClientIDList": [
        "example-application-ID"
    ],
    "ThumbprintList": [
        "c3768084dfb3d2b68b7897bf5f565da8eEXAMPLE"
    ]
}

接下来，要创建 OpenID Connect（OIDC）提供者，请再次使用 create-open-id-connect-provider 命令，这次是传递 --cli-input-json 参数以指定您的 JSON 文件。以下 create-open-id-connect-provider 命令将 --cli-input-json 参数与名为 create-open-id-connect-provider.json 的 JSON 文件一起使用。

aws iam create-open-id-connect-provider \
    --cli-input-json file://create-open-id-connect-provider.json

输出：

{
    "OpenIDConnectProviderArn": "arn:aws:iam::123456789012:oidc-provider/server.example.com"
}

有关 OIDC 提供者的更多信息，请参阅《Amazon IAM 用户指南》中的创建 OpenID Connect（OIDC）身份提供者。

有关获取 OIDC 提供者指纹的更多信息，请参阅《Amazon IAM 用户指南》中的获取 OpenID Connect 身份提供者的指纹。

示例 1：此示例创建一个 IAM OIDC 提供者，该提供者与位于 URL https://example.oidcprovider.com 中的 OIDC 兼容提供者服务和客户端 ID my-testapp-1 关联。OIDC 提供者将提供指纹。要验证指纹，请按照 http://docs.aws.amazon.com/IAM/latest/UserGuide/identity-providers-oidc-obtain-thumbprint.html 中的步骤操作。

New-IAMOpenIDConnectProvider -Url https://example.oidcprovider.com -ClientIDList my-testapp-1 -ThumbprintList 990F419EXAMPLEECF12DDEDA5EXAMPLE52F20D9E

输出：

arn:aws:iam::123456789012:oidc-provider/example.oidcprovider.com