**Bantu tingkatkan halaman ini** 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Ambil kunci penandatanganan untuk memvalidasi token OIDC
<a name="irsa-fetch-keys"></a>

Kubernetes mengeluarkan a `ProjectedServiceAccountToken` ke setiap Akun Layanan Kubernetes. Token ini adalah token OIDC, yang selanjutnya merupakan jenis token web JSON (JWT). Amazon EKS menghosting endpoint OIDC publik untuk setiap cluster yang berisi kunci penandatanganan untuk token sehingga sistem eksternal dapat memvalidasinya.

Untuk memvalidasi`ProjectedServiceAccountToken`, Anda perlu mengambil kunci penandatanganan publik OIDC, juga disebut JSON Web Key Set (JWKS). Gunakan kunci ini dalam aplikasi Anda untuk memvalidasi token. Misalnya, Anda dapat menggunakan pustaka [PyjWT Python](https://pyjwt.readthedocs.io/en/latest/) untuk memvalidasi token menggunakan kunci ini. Untuk informasi lebih lanjut tentang`ProjectedServiceAccountToken`, lihat[Informasi latar belakang IAM, Kubernetes, dan OpenID Connect (OIDC)](iam-roles-for-service-accounts.md#irsa-oidc-background).

## Prasyarat
<a name="_prerequisites"></a>
+ Penyedia OpenID Connect (OIDC) AWS Identity and Access Management (IAM) yang sudah ada untuk klaster Anda. Untuk menentukan apakah Anda sudah memiliki satu, atau harus membuat satu, lihat [Buat penyedia IAM OIDC untuk klaster Anda](enable-iam-roles-for-service-accounts.md).
+  ** AWS CLI** — Alat baris perintah untuk bekerja dengan AWS layanan, termasuk Amazon EKS. Untuk informasi selengkapnya, lihat [Menginstal](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) di Panduan Pengguna Antarmuka Baris AWS Perintah. Setelah menginstal AWS CLI, kami sarankan Anda juga mengkonfigurasinya. Untuk informasi selengkapnya, lihat [Konfigurasi cepat dengan aws configure](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-config) di Panduan Pengguna Antarmuka Baris AWS Perintah.

## Prosedur
<a name="_procedure"></a>

1. Ambil URL OIDC untuk klaster Amazon EKS Anda menggunakan CLI. AWS 

   ```
   $ aws eks describe-cluster --name my-cluster --query 'cluster.identity.oidc.issuer'
   "https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE"
   ```

1. Ambil kunci penandatanganan publik menggunakan curl, atau alat serupa. Hasilnya adalah [JSON Web Key Set (JWKS](https://www.rfc-editor.org/rfc/rfc7517#section-5)).
**penting**  
Amazon EKS membatasi panggilan ke titik akhir OIDC. Anda harus men-cache kunci penandatanganan publik. Hormati `cache-control` header yang termasuk dalam respons.
**penting**  
Amazon EKS memutar kunci penandatanganan OIDC setiap tujuh hari.

   ```
   $ curl https://oidc.eks.us-west-2.amazonaws.com/id/8EBDXXXX00BAE/keys
   {"keys":[{"kty":"RSA","kid":"2284XXXX4a40","use":"sig","alg":"RS256","n":"wklbXXXXMVfQ","e":"AQAB"}]}
   ```