**Unterstützung für die Verbesserung dieser Seite beitragen** 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Um zu diesem Benutzerhandbuch beizutragen, wählen Sie den GitHub Link **Diese Seite bearbeiten auf**, der sich im rechten Bereich jeder Seite befindet.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Benutzern Zugriff auf Kubernetes mit einem externen OIDC-Anbieter gewähren
<a name="authenticate-oidc-identity-provider"></a>

Amazon EKS unterstützt die Verwendung von OpenID-Connect(OIDC)-Identitätsanbietern als Methode zur Authentifizierung von Benutzern bei Ihrem Cluster. OIDC-Identitätsanbieter können zusammen mit oder als Alternative zu AWS Identity and Access Management (IAM) verwendet werden. Weitere Informationen zur Verwendung von IAM finden Sie unter [Gewähren Sie IAM-Benutzern und -Rollen Zugriff auf Kubernetes-APIs](grant-k8s-access.md). Nachdem Sie die Authentifizierung für Ihren Cluster konfiguriert haben, können Sie Kubernetes `roles` und `clusterroles` erstellen, um den Rollen Berechtigungen zuzuweisen, und dann die Rollen mithilfe von Kubernetes `rolebindings` und `clusterrolebindings` an die Identitäten binden. Weitere Informationen finden Sie unter [Verwendung der RBAC-Autorisierung](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) in der Kubernetes-Dokumentation.
+ Sie können Ihrem Cluster einen OIDC-Identitätsanbieter zuordnen.
+ Kubernetes stellt keinen OIDC-Identitätsanbieter bereit. Sie können einen vorhandenen öffentlichen OIDC-Identitätsanbieter verwenden oder Ihren eigenen Identitätsanbieter ausführen. Eine Liste zertifizierter Anbieter finden Sie unter [OpenID-Zertifizierung](https://openid.net/certification/) auf der OpenID-Website.
+ Die Aussteller-URL des OIDC-Identitätsanbieters muss öffentlich zugänglich sein, damit Amazon EKS die Signaturschlüssel erkennen kann. Amazon EKS unterstützt keine OIDC-Identitätsanbieter mit selbstsignierten Zertifikaten.
+ Sie können die IAM-Authentifizierung in Ihrem Cluster nicht deaktivieren, da sie weiterhin erforderlich ist, um einem Cluster Knoten hinzufügen zu können.
+ Ein Amazon EKS-Cluster muss weiterhin von einem AWS [-IAM-Prinzipal](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal) erstellt werden und nicht von einem OIDC-Identitätsanbieter-Benutzer. Dies liegt daran, dass der Cluster-Ersteller mit den Amazon-EKS-APIs interagiert und nicht mit den Kubernetes-APIs.
+ Benutzer, die vom OIDC-Identitätsanbieter authentifiziert wurden, werden im Auditprotokoll des Clusters aufgeführt, wenn die CloudWatch Protokolle für die Kontrollebene aktiviert sind. Weitere Informationen finden Sie unter [Aktivierung oder Deaktivierung der Steuerebenen-Protokolle](control-plane-logs.md#enabling-control-plane-log-export).
+ Sie können sich nicht AWS-Managementkonsole mit einem Konto eines OIDC-Anbieters bei der anmelden. Sie können dies nur [Kubernetes-Ressourcen anzeigen in der AWS-Managementkonsole](view-kubernetes-resources.md) tun, indem Sie sich AWS-Managementkonsole mit einem AWS Identity and Access Management-Konto anmelden.

## Verknüpfen Sie einen OIDC-Identitätsanbieter
<a name="associate-oidc-identity-provider"></a>

Bevor Sie Ihrem Cluster einen OIDC-Identitätsanbieter zuordnen können, benötigen Sie die folgenden Informationen von Ihrem Anbieter:

 **URL des Ausstellers**   
Die URL des OIDC-Identitätsanbieters, die es dem API-Server ermöglicht, öffentliche Signierschlüssel zur Verifizierung von Token zu ermitteln. Die URL muss mit `https://` beginnen und sollte dem `iss`-Anspruch in den OIDC-ID-Token des Anbieters entsprechen. Gemäß dem OIDC-Standard sind Pfadkomponenten erlaubt, Abfrageparameter jedoch nicht. Normalerweise besteht die URL nur aus einem Hostnamen wie `https://server.example.org` oder `https://example.com`. Diese URL sollte auf die Ebene unterhalb von `.well-known/openid-configuration` verweisen und muss über das Internet öffentlich zugänglich sein.

 **Client-ID (auch als *Zielgruppe* bezeichnet)**   
Die ID für die Client-Anwendung, die Authentifizierungsanforderungen an den OIDC-Identitätsanbieter stellt.

Sie können einen Identitätsanbieter mit `eksctl` oder AWS-Managementkonsole zuordnen.

### Identitätsanbieter mit eksctl zuordnen
<a name="identity-associate-eksctl"></a>

1. Erstellen Sie eine Datei mit dem Namen `associate-identity-provider.yaml` und dem folgenden Inhalt. Ersetzen Sie die Beispielwerte durch Ihre eigenen Werte. Die Werte im Abschnitt `identityProviders` erhalten Sie von Ihrem OIDC-Identitätsanbieter. Werte werden nur für die `name`-, `type`-, `issuerUrl`- und `clientId`-Einstellungen unter `identityProviders` benötigt.

   ```
   ---
   apiVersion: eksctl.io/v1alpha5
   kind: ClusterConfig
   
   metadata:
     name: my-cluster
     region: your-region-code
   
   identityProviders:
     - name: my-provider
       type: oidc
       issuerUrl: https://example.com
       clientId: kubernetes
       usernameClaim: email
       usernamePrefix: my-username-prefix
       groupsClaim: my-claim
       groupsPrefix: my-groups-prefix
       requiredClaims:
         string: string
       tags:
         env: dev
   ```
**Wichtig**  
Geben Sie weder `system:` noch einen Teil dieser Zeichenfolge für `groupsPrefix` oder `usernamePrefix` an.

1. Erstellen Sie den Anbieter.

   ```
   eksctl associate identityprovider -f associate-identity-provider.yaml
   ```

1. Informationen zum Verwenden von `kubectl` für die Arbeit mit Ihrem Cluster und OIDC-Identitätsanbieter finden Sie unter [Verwendung von kubectl](https://kubernetes.io/docs/reference/access-authn-authz/authentication/#using-kubectl) in der Kubernetes-Dokumentation.

### Ordnen Sie mithilfe der Konsole einen Identitätsanbieter zu AWS
<a name="identity-associate-console"></a>

1. Öffnen Sie die [Amazon-EKS-Konsole](https://console.aws.amazon.com/eks/home#/clusters).

1. Wählen Sie Ihren Cluster aus und anschließend die Registerkarte **Zugriff**.

1. Wählen Sie im Abschnitt **OIDC-Identitätsanbieter** die Option „Identitätsanbieter zuordnen“ aus.

1. Geben Sie auf der Seite **OIDC-Identitätsanbieter zuordnen** die folgenden Optionen ein oder wählen Sie sie aus, und wählen Sie dann **Zuordnen** aus.
   + Geben Sie für **Name** einen eindeutigen Namen für den Anbieter ein.
   + Geben Sie für **Aussteller-URL** die URL Ihres Anbieters ein. Diese URL muss über das Internet zugänglich sein.
   + Geben Sie für **Client-ID** die Client-ID des OIDC-Identitätsanbieters (auch als **Zielgruppe** bezeichnet) ein.
   + Geben Sie für **Benutzernamenanspruch** den Anspruch ein, der als Benutzername verwendet werden soll.
   + Geben Sie für **Gruppenanspruch** den Anspruch ein, der als Benutzergruppe verwendet werden soll.
   + (Optional) Wählen Sie **Erweiterte Optionen**, geben Sie die folgenden Informationen ein oder wählen Sie sie aus.
     +  **Benutzernamen-Präfix** – Geben Sie ein Präfix ein, das den Benutzernamenansprüchen vorangestellt wird. Das Präfix wird den Benutzernamensansprüchen vorangestellt, um Konflikte mit bestehenden Namen zu vermeiden. Wenn Sie keinen Wert angeben und der Benutzername ein anderer Wert als `email` ist, wird als Präfix standardmäßig der Wert für die **Aussteller-URL** verwendet. Sie können den Wert verwenden`-`, um alle Präfixe zu deaktivieren. Geben Sie weder `system:`, noch einen Teil dieser Zeichenfolge an.
     +  **Gruppen-Präfix** – Geben Sie ein Präfix ein, das den Gruppenansprüchen vorangestellt werden soll. Das Präfix wird Gruppenansprüchen vorangestellt, um Konflikte mit vorhandenen Namen (wie) zu verhindern. `system: groups` Der Wert `oidc:` erstellt beispielsweise Gruppennamen wie `oidc:engineering` und `oidc:infra`. Geben Sie weder `system:`, noch einen Teil dieser Zeichenfolge an.
     +  **Erforderliche Ansprüche** – Wählen Sie **Anspruch hinzufügen** aus, und geben Sie ein oder mehrere Schlüsselwertpaare ein, die erforderliche Ansprüche im Client-ID-Token beschreiben. Die Paare beschreiben erforderliche Ansprüche im ID-Token. Wenn festgelegt, wird überprüft, ob jeder Anspruch im ID-Token mit einem übereinstimmenden Wert vorhanden ist.

       1. Informationen zum Verwenden von `kubectl` für die Arbeit mit Ihrem Cluster und OIDC-Identitätsanbieter finden Sie unter [Verwendung von kubectl](https://kubernetes.io/docs/reference/access-authn-authz/authentication/#using-kubectl) in der Kubernetes-Dokumentation.

## Beispiel für eine IAM-Richtlinie
<a name="oidc-identity-provider-iam-policy"></a>

Wenn Sie verhindern möchten, dass ein OIDC-Identitätsanbieter mit einem Cluster verknüpft wird, erstellen Sie die folgende IAM-Richtlinie und verknüpfen Sie sie mit den IAM-Konten Ihrer Amazon-EKS-Administratoren. Weitere Informationen finden Sie unter [Erstellen von IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) und [Hinzufügen von IAM-Identitätsberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) im *IAM-Benutzerhandbuch* sowie unter [Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerserviceforkubernetes.html) in der Referenz zur Service-Autorisierung.

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "denyOIDC",
            "Effect": "Deny",
            "Action": [
                "eks:AssociateIdentityProviderConfig"
            ],
            "Resource": "arn:aws:eks:us-west-2:111122223333:cluster/*"

        },
        {
            "Sid": "eksAdmin",
            "Effect": "Allow",
            "Action": [
                "eks:*"
            ],
            "Resource": "*"
        }
    ]
}
```

Die folgende Beispielrichtlinie lässt die Zuordnung von OIDC-Identitätsanbietern zu, wenn `clientID` `kubernetes` und `issuerUrl` `https://cognito-idp.us-west-2.amazonaws.com/*` ist.

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowCognitoOnly",
            "Effect": "Deny",
            "Action": "eks:AssociateIdentityProviderConfig",
            "Resource": "arn:aws:eks:us-west-2:111122223333:cluster/my-instance",
            "Condition": {
                "StringNotLikeIfExists": {
                    "eks:issuerUrl": "https://cognito-idp.us-west-2.amazonaws.com/*"
                }
            }
        },
        {
            "Sid": "DenyOtherClients",
            "Effect": "Deny",
            "Action": "eks:AssociateIdentityProviderConfig",
            "Resource": "arn:aws:eks:us-west-2:111122223333:cluster/my-instance",
            "Condition": {
                "StringNotEquals": {
                    "eks:clientId": "kubernetes"
                }
            }
        },
        {
            "Sid": "AllowOthers",
            "Effect": "Allow",
            "Action": "eks:*",
            "Resource": "*"
        }
    ]
}
```