发布于: Feb 12, 2021
Amazon Elastic Kubernetes Service (Amazon EKS) 现在支持将 OpenID Connect (OIDC) 兼容身份提供程序用作 Kubernetes 集群的一个用户身份验证选项。使用 OIDC 身份验证,您可以使用您组织中的标准程序来创建、启用和禁用员工账户,以管理用户对 EKS 集群的访问权限。
Amazon EKS 已经以实体形式提供对于 AWS Identity and Access Management (IAM) 用户和角色的本地支持,这些实体可针对集群执行身份验证,使集群管理员无需再为了管理用户而不得不维护单独的身份提供程序。IAM 至 Kubernetes 的这一集成使您能够利用 CloudTrail 审计日志和多重验证等 IAM 功能,安全地管理集群访问权限。但在某些组织中,开发团队对于 AWS 没有管理权限,为每个开发人员分别创建一个 IAM 用户或角色并不是一种可扩展的解决方案。
而借助 EKS 对 OIDC 身份提供程序的支持,您可以利用通过您的 OIDC 身份提供程序实现的现有身份管理生命周期,管理用户对您的集群的访问权限。
OpenID Connect 是一种基于
OAuth 2.0 系列规格的可互操作式身份验证协议。它添加了一个位于 OAuth 2.0 顶部的薄层,此薄层添加了有关已登录用户的身份的登录名和配置文件信息。为了进行 EKS 集群用户访问权限管理,可以将 OIDC 兼容身份提供程序用作 IAM 用户和角色的替代解决方案,或者将它与 IAM 用户和角色配合使用。