Publié le: Feb 12, 2021
Amazon Elastic Kubernetes Service (Amazon EKS) prend désormais en charge l'utilisation de fournisseurs d'identité compatibles OpenID Connect (OIDC) comme option d'authentification utilisateur pour les clusters Kubernetes. Avec l'authentification OIDC, vous pouvez gérer l'accès des utilisateurs aux clusters EKS en utilisant les procédures standard de votre organisation pour créer, activer et désactiver les comptes d'employés.
Amazon EKS inclut déjà la prise en charge native des utilisateurs et des rôles AWS Identity and Access Management (IAM) en tant qu'entités qui peuvent s'authentifier auprès d'un cluster, ce qui évite aux administrateurs de cluster de devoir gérer un fournisseur d'identité distinct pour gérer les utilisateurs. Cette intégration IAM à Kubernetes vous permet de gérer en toute sécurité l'accès au cluster en tirant parti des fonctions IAM telles que la journalisation d'audit CloudTrail et l'authentification multi-facteurs. Cependant, dans certaines organisations, les équipes de développement n'ont pas d'accès administratif à AWS et la création d'un utilisateur ou d'un rôle IAM pour chaque développeur n'est pas une solution évolutive.
Avec la prise en charge d'EKS pour les fournisseurs d'identité OIDC, vous pouvez gérer l'accès des utilisateurs à votre cluster en tirant parti d'un cycle de vie de gestion des identités existant via votre fournisseur d'identité OIDC.
OpenID Connect est un protocole d'authentification interopérable basé sur la famille de spécifications
OAuth 2.0. Il ajoute une couche mince qui se trouve au-dessus d'OAuth 2.0 qui ajoute des informations de connexion et de profil sur l'identité des utilisateurs connectés. Pour la gestion de l'accès des utilisateurs du cluster EKS, les fournisseurs d'identité compatibles OIDC peuvent être utilisés comme alternative ou avec les utilisateurs et les rôles IAM.
Vous pouvez associer un fournisseur d'identité compatible OIDC à des clusters nouveaux ou existants exécutant Kubernetes version 1.16 et ultérieure, à l'aide de la console EKS, de l'interface de ligne de commande ou d'eksctl. Pour en savoir plus, lisez notre
blog ou la
documentation Amazon EKS.