投稿日: Feb 12, 2021
Amazon Elastic Kubernetes Service (Amazon EKS) で OpenID Connect (OIDC) 互換 ID プロバイダーを Kubernetes クラスターへのユーザー認証オプションとして使用できるようになりました。OIDC 認証では、従業員アカウントの作成、有効化、および無効化に関する組織の標準の手順を使用して EKS クラスターへのユーザーアクセスを管理できます。
Amazon EKS には、クラスターに対して認証できるエンティティとしての AWS Identity and Access Management (IAM) ユーザーおよびロールのネイティブサポートが既に含まれているので、クラスター管理者はユーザーを管理するために別の ID プロバイダーを維持する必要はありません。この IAM と Kubernetes の統合により、CloudTrail 監査のログや多要素認証などの IAM の機能を活用して、クラスターアクセスを安全に管理できます。しかし、一部の組織ではデプロイチームに AWS に対する管理アクセス許可がありません。しかし、各デベロッパーに IAM ユーザーやロールを作成することはスケーラブルな解決策ではありません。
OIDC の ID プロバイダーの EKS サポートにより、OIDC ID プロバイダーを介して既存の ID 管理ライフサイクルを活用し、クラスターへのユーザーアクセスを管理できます。
OpenID Connect は、仕様の
OAuth 2.0 ファミリーに基づく相互運用可能な認証プロトコルです。これは、ログインユーザーの ID に関するログインおよびプロファイル情報を追加するレイヤーを OAuth 2.0 の上に追加します。EKS クラスターユーザーアクセス管理の場合、IAM ユーザーおよびロールの代替として、または IAM ユーザーおよびロールと共に OIDC 互換の ID プロバイダーを使用できます。