发布于: Mar 8, 2021
Amazon Elastic Kubernetes Service (Amazon EKS) 现在支持将兼容 OpenID Connect (OIDC) 的身份提供工具用作 Kubernetes 集群的用户身份验证选项。利用 OIDC 身份验证,您可以使用组织中用于创建、启用和禁用员工账户的标准程序来管理用户对 EKS 集群的访问。
EKS 已经包含了对亚马逊云科技 IAM 用户和角色的原生支持,让这些实体可以针对集群进行身份验证,使得集群管理员不需要维护单独的身份提供工具就可以管理用户。IAM 与 Kubernetes 的集成让您能够利用 CloudTrail 审计日志记录和多重验证等 IAM 功能来安全地管理集群访问。但是在一些组织中,开发团队不具备对亚马逊云科技的管理权限,为需要访问集群的每个开发人员创建一个 IAM 用户或角色可能是一项耗时的任务。
将 EKS 对 OIDC 身份提供工具的支持作为一种附加的身份验证选项,您可以使用组织中用于创建、启用和禁用员工账户的标准程序来管理开发人员对集群的访问。OpenID Connect 是一种基于 OAuth 2.0 系列规范的可以互操作的身份验证协议。它在 OAuth 2.0 上增加了一个薄层,其中添加了关于已登录身份的登录信息和个人资料信息。
您可以使用 EKS 控制台、CLI 或 eksctl,将兼容 OIDC 的身份提供工具与运行 Kubernetes 1.16 及以上版本的集群关联到一起。这一功能现已在支持 EKS 的所有区域推出,其中包括由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域。要了解更多信息,请参阅 Amazon EKS 文档。