**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Signaturschlüssel zur Validierung von OIDC-Token abrufen
<a name="irsa-fetch-keys"></a>

Kubernetes vergibt einen `ProjectedServiceAccountToken` an jedes Kubernetes-Servicekonto. Dieser Token ist ein OIDC-Token, bei dem es wiederum um eine Art JSON-Web-Token (JWT) handelt. Amazon EKS Hostet für jeden Cluster einen öffentlichen OIDC-Endpunkt, der die Signaturschlüssel für das Token enthält, sodass externe Systeme es validieren können.

Um einen `ProjectedServiceAccountToken` zu validieren, müssen Sie die öffentlichen OIDC-Signaturschlüssel abrufen, die auch als JSON Web Key Set (JWKS) bezeichnet werden. Verwenden Sie diese Schlüssel in Ihrer Anwendung, um das Token zu validieren. Sie können beispielsweise die [Python-Bibliothek PyJWT](https://pyjwt.readthedocs.io/en/latest/) verwenden, um Token mit diesen Schlüsseln zu validieren. Weitere Informationen zu `ProjectedServiceAccountToken` finden Sie unter [Hintergrundinformationen zu IAM, Kubernetes und OpenID Connect (OIDC)](iam-roles-for-service-accounts.md#irsa-oidc-background).

## Voraussetzungen
<a name="_prerequisites"></a>
+ Ein vorhandener Anbieter für AWS Identity and Access Management (IAM) OpenID Connect (OIDC) für Ihren Cluster. Informationen zum Feststellen, ob Sie bereits über einen verfügen oder einen erstellen müssen, finden Sie unter [Erstellen Sie einen IAM-OIDC-Anbieter für Ihren Cluster](enable-iam-roles-for-service-accounts.md).
+  ** AWS-CLI** – Ein Befehlszeilen-Tool für die Arbeit mit AWS-Services, einschließlich Amazon EKS. Weitere Informationen finden Sie unter [Installation](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) im Benutzerhandbuch der AWS-Befehlszeilenschnittstelle. Nach der Installation der AWS-CLI empfehlen wir, sie auch zu konfigurieren. Weitere Informationen finden Sie unter [Schnellkonfiguration mit aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) im Benutzerhandbuch zur AWS-Befehlszeilenschnittstelle.

## Verfahren
<a name="_procedure"></a>

1. Rufen Sie die OIDC-URL für Ihren Amazon-EKS-Cluster mithilfe der AWS-CLI ab.

   ```
   $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer'
   "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
   ```

1. Rufen Sie den öffentlichen Signaturschlüssel mit curl oder einem ähnlichen Tool ab. Das Ergebnis ist ein [JSON Web Key Set (JWKS)](https://www.rfc-editor.org/rfc/rfc7517#section-5).
**Wichtig**  
Amazon EKS drosselt das Aufrufen des OIDC-Endpunkts. Es wird empfohlen, den öffentlichen Signaturschlüssel zwischenzuspeichern. Beachten Sie die in der Antwort enthaltene `cache-control`-Kopfzeile.
**Wichtig**  
Amazon EKS rotiert den OIDC-Signaturschlüssel alle sieben Tage.

   ```
   $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
   {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}
   ```