**Bantu tingkatkan halaman ini**
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk berkontribusi pada panduan pengguna ini, pilih **Edit halaman ini pada GitHub** tautan yang terletak di panel kanan setiap halaman.
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Beri pengguna akses ke Kubernetes dengan penyedia OIDC eksternal
Amazon EKS mendukung penggunaan penyedia identitas OpenID Connect (OIDC) sebagai metode untuk mengautentikasi pengguna ke klaster Anda. Penyedia identitas OIDC dapat digunakan dengan, atau sebagai alternatif untuk AWS Identity and Access Management (IAM). Untuk informasi selengkapnya tentang penggunaan IAM, lihat [Berikan akses kepada pengguna dan peran IAM ke API Kubernetes](grant-k8s-access.md). Setelah mengonfigurasi autentikasi ke klaster Anda, Anda dapat membuat `roles` dan `clusterroles` Kubernetes untuk memberikan izin ke dalam peran, dan kemudian mengikat peran ke dalam identitas menggunakan `rolebindings` dan `clusterrolebindings` Kubernetes. Untuk informasi selengkapnya, lihat [Menggunakan Otorisasi RBAC](https://kubernetes.io/docs/reference/access-authn-authz/rbac/) dalam dokumentasi Kubernetes.
+ Anda dapat mengaitkan satu penyedia identitas OIDC ke klaster Anda.
+ Kubernetes tidak menyediakan penyedia identitas OIDC. Anda dapat menggunakan penyedia identitas OIDC publik yang sudah ada, atau Anda dapat menjalankan penyedia identitas milik Anda sendiri. Untuk daftar penyedia tersertifikasi, lihat [OpenID Certification](https://openid.net/certification/) di situs OpenID.
+ URL penerbit penyedia identitas OIDC harus dapat diakses publik, sehingga Amazon EKS dapat menemukan kunci penandatanganan. Amazon EKS tidak mendukung penyedia identitas OIDC dengan sertifikat yang ditandatangani sendiri.
+ Anda tidak dapat menonaktifkan autentikasi IAM ke klaster Anda, karena masih diperlukan untuk menggabungkan node ke cluster.
+ Cluster Amazon EKS masih harus dibuat oleh [prinsipal AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#iam-term-principal), bukan pengguna penyedia identitas OIDC. Hal ini karena pencipta klaster berinteraksi dengan API Amazon EKS, bukan API Kubernetes.
+ Pengguna yang diautentikasi penyedia identitas OIDC tercantum dalam log audit klaster jika CloudWatch log dihidupkan untuk bidang kontrol. Untuk informasi selengkapnya, lihat [Mengaktifkan atau menonaktifkan log bidang kontrol](control-plane-logs.md#enabling-control-plane-log-export).
+ Anda tidak dapat masuk ke akun Konsol Manajemen AWS dengan akun dari penyedia OIDC. Anda hanya [Lihat sumber daya Kubernetes di Konsol Manajemen AWS](view-kubernetes-resources.md) dapat masuk ke akun Identity and Access Management Konsol Manajemen AWS dengan akun AWS Identity and Access Management.
## Kaitkan penyedia identitas OIDC
Sebelum Anda dapat mengaitkan penyedia identitas OIDC dengan klaster Anda, Anda memerlukan informasi berikut dari penyedia Anda:
**URL Penerbit**
URL penyedia identitas OIDC yang memungkinkan server API menemukan kunci penandatanganan publik untuk memverifikasi token. URL harus dimulai dengan `https://` dan harus sesuai dengan `iss` klaim dalam token ID OIDC penyedia. Sesuai dengan standar OIDC, komponen jalur diperbolehkan tetapi parameter kueri tidak. Biasanya URL hanya terdiri dari nama host, seperti `https://server.example.org` atau `https://example.com`. URL ini harus mengarah ke level di bawah `.well-known/openid-configuration` dan harus dapat diakses oleh publik melalui internet.
**ID Klien (juga dikenal sebagai *audiens*)**
ID untuk aplikasi klien yang membuat permintaan otentikasi ke penyedia identitas OIDC.
Anda dapat mengaitkan penyedia identitas menggunakan `eksctl` atau Konsol Manajemen AWS.
### Kaitkan penyedia identitas menggunakan eksctl
1. Buat file bernama `associate-identity-provider.yaml` dengan isi berikut ini. Ganti Contoh nilai dengan nilai Anda sendiri. Nilai-nilai dalam bagian `identityProviders` diperoleh dari penyedia identitas OIDC Anda. Nilai hanya diperlukan untuk `name`, `type`, `issuerUrl`, dan pengaturan `clientId` di bawah `identityProviders`.
```
---
apiVersion: eksctl.io/v1alpha5
kind: ClusterConfig
metadata:
name: my-cluster
region: your-region-code
identityProviders:
- name: my-provider
type: oidc
issuerUrl: https://example.com
clientId: kubernetes
usernameClaim: email
usernamePrefix: my-username-prefix
groupsClaim: my-claim
groupsPrefix: my-groups-prefix
requiredClaims:
string: string
tags:
env: dev
```
**penting**
Jangan tentukan`system:`, atau bagian mana pun dari string itu, untuk `groupsPrefix` atau`usernamePrefix`.
1. Buat penyedia.
```
eksctl associate identityprovider -f associate-identity-provider.yaml
```
1. Untuk digunakan `kubectl` untuk bekerja dengan cluster dan penyedia identitas OIDC Anda, lihat [Menggunakan kubectl di dokumentasi Kubernetes](https://kubernetes.io/docs/reference/access-authn-authz/authentication/#using-kubectl).
### Kaitkan penyedia identitas menggunakan AWS Konsol
1. Buka [konsol Amazon EKS](https://console.aws.amazon.com/eks/home#/clusters).
1. Pilih klaster Anda, lalu pilih tab **Access**.
1. Di bagian **Penyedia Identitas OIDC, pilih\* Penyedia Identitas** Rekan\*.
1. Pada halaman **Penyedia Identitas Associate OIDC**, masukkan atau pilih opsi berikut, dan kemudian pilih **Associate**.
+ Untuk **Nama**, masukkan nama unik untuk penyedia.
+ Untuk **Penerbit URL**, masukkan URL untuk penyedia Anda. URL ini harus dapat diakses melalui internet.
+ Untuk **ID Klien**, masukkan ID klien penyedia identitas OIDC (juga dikenal sebagai **audiens**).
+ Untuk **Klaim nama pengguna**, masukkan klaim untuk digunakan sebagai nama pengguna.
+ Untuk **klaim Grup**, masukkan klaim yang akan digunakan sebagai grup pengguna.
+ (Opsional) Pilih **Opsi lanjutan**, masukkan atau pilih informasi berikut.
+ **Prefiks nama pengguna** – Masukkan prefiks untuk ditambahkan ke klaim nama pengguna. Prefiks diawali dengan nama pengguna klaim untuk mencegah bentrokan dengan nama yang sudah ada. Jika Anda tidak memberikan nilai, dan nama pengguna adalah nilai selain `email`, prefiks default ke dalam nilai untuk **Penerbit URL**. Anda dapat menggunakan nilai `-` untuk menonaktifkan semua awalan. Jangan tentukan `system:` atau bagian mana pun dari string itu.
+ **Prefiks grup** – Masukkan prefiks untuk ditambahkan ke klaim grup. Awalan ditambahkan ke klaim grup untuk mencegah bentrokan dengan nama yang ada (seperti). `system: groups` Misalnya, `oidc:` nilai membuat nama grup seperti `oidc:engineering` dan `oidc:infra`. Jangan tentukan `system:` atau bagian mana pun dari string itu.
+ **Klaim yang diperlukan** – Pilih **Tambahkan klaim** dan masukkan satu atau beberapa pasangan nilai kunci yang menjelaskan klaim yang diperlukan dalam token ID klien. Pasangan tersebut menjelaskan klaim yang diperlukan dalam Token ID. Jika diatur, setiap klaim diverifikasi untuk ada dalam token ID dengan nilai yang cocok.
1. Untuk digunakan `kubectl` untuk bekerja dengan cluster dan penyedia identitas OIDC Anda, lihat [Menggunakan kubectl di dokumentasi Kubernetes](https://kubernetes.io/docs/reference/access-authn-authz/authentication/#using-kubectl).
## Contoh kebijakan IAM
Jika Anda ingin mencegah penyedia identitas OIDC dikaitkan dengan klaster, buat dan kaitkan kebijakan IAM berikut ke dalam akun IAM Amazon EKS administrator Anda. Untuk informasi selengkapnya, lihat [Membuat kebijakan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dan [Menambahkan izin identitas IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console) di *Panduan Pengguna dan [Tindakan](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonelasticcontainerserviceforkubernetes.html) IAM* di Referensi Otorisasi Layanan.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "denyOIDC",
"Effect": "Deny",
"Action": [
"eks:AssociateIdentityProviderConfig"
],
"Resource": "arn:aws:eks:us-west-2:111122223333:cluster/*"
},
{
"Sid": "eksAdmin",
"Effect": "Allow",
"Action": [
"eks:*"
],
"Resource": "*"
}
]
}
```
Contoh kebijakan berikut memungkinkan asosiasi penyedia identitas OIDC jika `clientID` adalah `kubernetes` dan `issuerUrl` adalah `https://cognito-idp.us-west-2.amazonaws.com/*`.
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCognitoOnly",
"Effect": "Deny",
"Action": "eks:AssociateIdentityProviderConfig",
"Resource": "arn:aws:eks:us-west-2:111122223333:cluster/my-instance",
"Condition": {
"StringNotLikeIfExists": {
"eks:issuerUrl": "https://cognito-idp.us-west-2.amazonaws.com/*"
}
}
},
{
"Sid": "DenyOtherClients",
"Effect": "Deny",
"Action": "eks:AssociateIdentityProviderConfig",
"Resource": "arn:aws:eks:us-west-2:111122223333:cluster/my-instance",
"Condition": {
"StringNotEquals": {
"eks:clientId": "kubernetes"
}
}
},
{
"Sid": "AllowOthers",
"Effect": "Allow",
"Action": "eks:*",
"Resource": "*"
}
]
}
```