Signaturschlüssel zur Validierung von OIDC-Token abrufen - Amazon EKS
VoraussetzungenVerfahren

Unterstützung für die Verbesserung dieser Seite beitragen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link Diese Seite bearbeiten auf, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Signaturschlüssel zur Validierung von OIDC-Token abrufen

Kubernetes vergibt einen ProjectedServiceAccountToken an jedes Kubernetes-Servicekonto. Dieser Token ist ein OIDC-Token, bei dem es wiederum um eine Art JSON-Web-Token (JWT) handelt. Amazon EKS Hostet für jeden Cluster einen öffentlichen OIDC-Endpunkt, der die Signaturschlüssel für das Token enthält, sodass externe Systeme es validieren können.

Um einen ProjectedServiceAccountToken zu validieren, müssen Sie die öffentlichen OIDC-Signaturschlüssel abrufen, die auch als JSON Web Key Set (JWKS) bezeichnet werden. Verwenden Sie diese Schlüssel in Ihrer Anwendung, um das Token zu validieren. Sie können beispielsweise die Python-Bibliothek PyJWT verwenden, um Token mit diesen Schlüsseln zu validieren. Weitere Informationen zu ProjectedServiceAccountToken finden Sie unter Hintergrundinformationen zu IAM, Kubernetes und OpenID Connect (OIDC).

Voraussetzungen

  • Ein vorhandener Anbieter für AWS Identity and Access Management (IAM) OpenID Connect (OIDC) für Ihren Cluster. Informationen zum Feststellen, ob Sie bereits über einen verfügen oder einen erstellen müssen, finden Sie unter Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster.

  • AWS-CLI – Ein Befehlszeilen-Tool für die Arbeit mit AWS-Services, einschließlich Amazon EKS. Weitere Informationen finden Sie unter Installation im Benutzerhandbuch der AWS-Befehlszeilenschnittstelle. Nach der Installation der AWS-CLI empfehlen wir, sie auch zu konfigurieren. Weitere Informationen finden Sie unter Schnellkonfiguration mit aws configure im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle.

Verfahren

  1. Rufen Sie die OIDC-URL für Ihren Amazon-EKS-Cluster mithilfe der AWS-CLI ab.

    $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer'
"https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"

  2. Rufen Sie den öffentlichen Signaturschlüssel mit curl oder einem ähnlichen Tool ab. Das Ergebnis ist ein JSON Web Key Set (JWKS).

    Wichtig

    Amazon EKS drosselt das Aufrufen des OIDC-Endpunkts. Es wird empfohlen, den öffentlichen Signaturschlüssel zwischenzuspeichern. Beachten Sie die in der Antwort enthaltene cache-control-Kopfzeile.

    Wichtig

    Amazon EKS rotiert den OIDC-Signaturschlüssel alle sieben Tage.

    $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
{"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}