为您的集群创建 IAM OIDC 提供商 - Amazon EKS
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为您的集群创建 IAM OIDC 提供商

您的集群具有OpenID Connect与其关联的发行者 URL。要将 IAM 角色用于服务账户,您的集群必须存在 IAM OIDC 提供商。

Prerequisites

使用现有 集群。如果还没有存储桶,可以使用Amazon EKS 入门指南。

要使用为集群创建 IAM OIDC 身份提供商eksctl

  1. 确定您是否拥有集群的现有 IAM OIDC 提供商。

    查看集群的 OIDC 提供商 URL。

    aws eks describe-cluster --name <cluster_name> --query "cluster.identity.oidc.issuer" --output text

    输出示例:

    https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

    列出您账户中的 IAM OIDC 提供商。Replace <EXAMPLED539D4633E53DE1B716D3041E> (包括 <>),其中包含从上一条命令返回的值。 

    aws iam list-open-id-connect-providers | grep <EXAMPLED539D4633E53DE1B716D3041E>

    输出示例

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

    如果从上一个命令返回输出,则表示您已经拥有集群的提供程序。如果没有返回输出,则必须创建 IAM OIDC 提供商。

  2. 使用以下命令为您的集群创建 IAM OIDC 身份提供商。Replace<cluster_name>(包括<>),并使用您自己的值。 

    eksctl utils associate-iam-oidc-provider --cluster <cluster_name> --approve

使用 AWS 管理控制台为集群创建 IAM OIDC 身份提供商

  1. 从打开 Amazon EKS 控制台https://console.aws.amazon.com/eks/home#/clusters

  2. 选择集群的名称,然后选择配置” 选项卡。

  3. 详细信息部分中,记下OpenID Connect

  4. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  5. 在导航面板中,选择身份提供商。如果提供程序列出与集群的 URL 匹配,那么您已经有了集群的提供程序。如果未列出与集群 URL 匹配的提供程序,则必须创建一个提供程序。

  6. 要创建提供商,请选择添加提供程序

  7. 适用于提供商类型中,选择OpenID Connect

  8. 适用于提供商 URL,粘贴集群的 OIDC 发布者 URL,然后选择获取指纹

  9. 适用于受众,输入sts.amazonaws.com,然后选择添加提供程序