Publicado: Feb 12, 2021
Amazon Elastic Kubernetes Service (Amazon EKS) agora com suporte ao uso de provedores de identidades compatíveis com OpenID Connect (OIDC) como uma opção de autenticação de usuários em clusters Kubernetes. Com a autenticação OIDC, você pode gerenciar o acesso do usuário aos clusters do EKS usando os procedimentos padrão na sua organização para criar, habilitar e desabilitar contas de funcionários.
O Amazon EKS já inclui suporte nativo para usuários do AWS Identity and Access Management (IAM) e para funções como entidades que podem se autenticar em um cluster, eliminando a carga dos administradores de cluster de ter que manter um provedor de identidades separado para gerenciar os usuários. Essa integração do IAM com o Kubernetes permite que você gerencie com segurança o acesso ao cluster, aproveitando os recursos do IAM, como registro de auditoria do CloudTrail e autenticação multifator. No entanto, em algumas organizações, as equipes de desenvolvimento não têm acesso administrativo à AWS, e criar um usuário ou uma função do IAM para cada desenvolvedor não é uma solução escalonável.
Com o suporte do EKS para provedores de identidades OIDC, você pode gerenciar o acesso dos usuários ao seu cluster, aproveitando um ciclo de vida de gerenciamento de identidades existente por meio do seu provedor de identidades OIDC. O
OpenID Connect é um protocolo de autenticação interoperável baseado na família de especificações
OAuth 2.0. Ele adiciona uma fina camada sobre o OAuth 2.0 e que adiciona informações de login e perfil sobre a identidade dos usuários conectados. Para o gerenciamento de acesso de usuários ao cluster EKS, provedores de identidades compatíveis com OIDC podem ser usados como uma alternativa ou junto com usuários e funções do IAM.
Você pode associar um provedor de identidades compatível com OIDC a clusters novos ou existentes que executam o Kubernetes versão 1.16 e versão superior, usando o console do EKS, a CLI ou o eksctl. Para saber mais, leia o nosso
blog ou consulte a
documentação do Amazon EKS.