Créer un fournisseur d'identité OIDC IAM pour votre cluster - Amazon EKS
Créer un fournisseur OIDC (eksctl)Créer un fournisseur OIDC (AWS console)

Aidez à améliorer cette page

Pour contribuer à ce guide de l’utilisateur, cliquez sur le lien Modifier cette page sur GitHub qui se trouve dans le volet droit de chaque page.

Créer un fournisseur d'identité OIDC IAM pour votre cluster

Votre cluster a une URL de diffuseur OpenID Connect (OIDC) qui lui est associée. Pour utiliser les rôles de gestion des identités et des accès (IAM) AWS pour les comptes de service, un fournisseur IAM OIDC doit exister pour l’URL d’émetteur OIDC de votre cluster.

  • Un cluster Amazon EKS existant. Pour en déployer un, consultez Mise en route avec Amazon EKS.

  • Version 2.12.3 ou ultérieure ou version 1.27.160 ou ultérieure de l’interface de la ligne de commande AWS (AWS CLI) installée et configurée sur votre appareil ou dans AWS CloudShell. Pour vérifier votre version actuelle, utilisez aws --version | cut -d / -f2 | cut -d ' ' -f1. Les gestionnaires de package tels que yum, apt-get ou Homebrew pour macOS ont souvent plusieurs versions de retard par rapport à la dernière version de l’AWS CLI. Pour installer la dernière version, consultez les sections Installation et Configuration rapide avec aws configure du Guide de l’utilisateur de l’interface de la ligne de commande AWS. La version de l’AWS CLI installée dans AWS CloudShell peut également être plusieurs versions derrière la dernière version. Pour la mettre à jour, consultez la section Installation de l’AWS CLI dans votre répertoire personnel dans le Guide de l’utilisateur AWS CloudShell.

  • L’outil de ligne de commande kubectl est installé sur votre appareil ou dans AWS CloudShell. La version peut correspondre à celle utilisée par votre cluster Kubernetes, ou différer d’au plus une version mineure, qu’elle soit antérieure ou plus récente. Par exemple, si la version de votre cluster est 1.29, vous pouvez utiliser la version kubectl 1.28, 1.29 ou 1.30. Pour installer ou mettre à niveau kubectl, veuillez consulter Configuration de kubectl et eksctl.

  • Un fichier existant kubectl config qui contient la configuration de votre cluster. Pour créer un fichier kubectl config, consultez Connexion de kubectl à un cluster EKS en créant un fichier kubeconfig.

Vous pouvez créer un fournisseur IAM OIDC pour votre cluster en utilisant eksctl ou la AWS Management Console.

Créer un fournisseur OIDC (eksctl)

  1. Version 0.214.0 ou ultérieure de l’outil de ligne de commande eksctl installée sur votre appareil ou AWS CloudShell. Pour installer ou mettre à jour eksctl, veuillez consulter Installation dans la documentation de eksctl.

  2. Déterminez l’identifiant de l’émetteur OIDC pour votre cluster.

    Récupérez l’ID émetteur OIDC de votre cluster et stockez-le dans une variable. Remplacez <my-cluster> par votre propre valeur.

    cluster_name=<my-cluster>
oidc_id=$(aws eks describe-cluster --name $cluster_name --query "cluster.identity.oidc.issuer" --output text | cut -d '/' -f 5)
echo $oidc_id

  3. Déterminez si un fournisseur IAM OIDC avec l’ID d’émetteur de votre cluster figure déjà dans votre compte.

    aws iam list-open-id-connect-providers | grep $oidc_id | cut -d "/" -f4

    Si la sortie est renvoyée, cela signifie que vous disposez déjà d’un fournisseur IAM OIDC pour votre cluster. Vous pouvez donc ignorer l’étape suivante. Si aucune sortie n'est renvoyée, vous devez créer un fournisseur OIDC IAM pour votre cluster.

  4. Créez votre fournisseur d'identité OIDC IAM pour votre cluster avec la commande suivante.

    eksctl utils associate-iam-oidc-provider --cluster $cluster_name --approve
    Note

    Si vous avez activé le point de terminaison d’un VPC EKS, le point de terminaison du service OIDC EKS n’était pas accessible depuis l’intérieur de ce VPC. Par conséquent, vos opérations telles que la création d’un fournisseur OIDC avec eksctl dans le VPC ne fonctionneront pas et entraîneront un délai d’expiration. Voici un exemple de message d'erreur :

    ** server cant find oidc.eks.<region-code>.amazonaws.com: NXDOMAIN

    Pour terminer cette étape, vous pouvez exécuter la commande en dehors du VPC, par exemple, dans CloudShell AWS ou sur un ordinateur connecté à Internet. Vous pouvez également créer un résolveur conditionnel à horizon divisé dans le VPC, tel que Route 53 Resolver, afin d’utiliser un résolveur différent pour l’URL de l’émetteur OIDC et de ne pas utiliser le DNS VPC pour celle-ci. Pour un exemple de transfert conditionnel dans CoreDNS, consultez la demande de fonctionnalité Amazon EKS sur GitHub.

Créer un fournisseur OIDC (AWS console)

  1. Ouvrez la console Amazon EKS.

  2. Dans le volet de gauche, sélectionnez Clusters, puis sélectionnez le nom de votre cluster sur la page Clusters.

  3. Dans la section Détails de l'onglet Présentation, notez la valeur de l'URL du fournisseur d'OpenID Connect.

  4. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  5. Dans le panneau de navigation, sélectionnez Identity Providers (Fournisseurs d'identité) sous Access management (Gestion des accès). Si un fournisseur est répertorié et correspond à l'URL de votre cluster, alors vous avez déjà un fournisseur pour votre cluster. Si aucun fournisseur ne correspond à l’URL de votre cluster, vous devez en créer un.

  6. Pour créer un fournisseur, cliquez sur Ajouter un fournisseur.

  7. Pour le type de fournisseur, sélectionnez OpenID Connect.

  8. Pour l’URL du fournisseur, saisissez l’URL du fournisseur OIDC pour votre cluster.

  9. Pour Audience, saisissez sts.amazonaws.com.

  10. (Facultatif) Ajoutez des balises, par exemple une balise permettant d’identifier le cluster associé à ce fournisseur.

  11. Choisissez Ajouter un fournisseur.

Étape suivante : Attribution de rôles IAM aux comptes de service Kubernetes