Klastry Amazon EKS obsługują teraz uwierzytelnianie użytkowników za pomocą dostawców tożsamości zgodnych z OIDC

12 lutego 2021

Amazon Elastic Kubernetes Service (Amazon EKS) obsługuje teraz używanie dostawców tożsamości zgodnych z OpenID Connect (OIDC) jako opcji uwierzytelniania użytkownika w klastrach Kubernetes. Dzięki uwierzytelnianiu OIDC, można zarządzać dostępem użytkowników do klastrów EKS przy użyciu standardowych procedur w organizacji do tworzenia, włączania i wyłączania kont pracowników.

Amazon EKS zawiera już natywne wsparcie dla użytkowników i ról AWS Identity and Access Management (IAM) jako jednostek, które mogą uwierzytelniać się w klastrze, odciążając administratorów klastrów koniecznością utrzymywania oddzielnego dostawcy tożsamości do zarządzania użytkownikami. Integracja IAM z Kubernetesem umożliwia bezpieczne zarządzanie dostępem do klastrów poprzez wykorzystanie funkcji IAM, takich jak logowanie CloudTrail i uwierzytelnianie wieloskładnikowe. Jednak w niektórych organizacjach zespoły programistyczne nie mają dostępu administracyjnego do AWS, a utworzenie użytkownika IAM lub roli dla każdego programisty nie jest rozwiązaniem skalowalnym.

Dzięki obsłudze EKS dla dostawców tożsamości OIDC można zarządzać dostępem użytkowników do klastra, wykorzystując istniejący cykl życia OIDC. OpenID Connect to interoperacyjny protokół uwierzytelniania oparty na rodzinie specyfikacji OAuth 2.0. Dodaje on warstwę powyżej OAuth 2.0, która dołącza dane logowania i informacje o profilu o tożsamości zalogowanych użytkowników. W przypadku zarządzania dostępem użytkowników do klastra EKS, dostawcy tożsamości zgodni z OIDC mogą być wykorzystywani jako alternatywa lub wraz z użytkownikami i rolami IAM.

Można powiązać dostawcę tożsamości kompatybilnego z OIDC z nowymi lub istniejącymi klastrami Kubernetes w wersji 1.16 lub nowszej, używając konsoli EKS, CLI lub eksctl. Aby dowiedzieć się więcej, warto odwiedzić blog AWSa lub przejrzeć dokumentację Amazon EKS.

źródło: AWS