Amazon EKS で OIDC プロバイダーと IRSA についてトラブルシューティングするにはどうすればよいですか?

所要時間4分
0

私のポッドでは、Amazon Elastic Kubernetes Service (Amazon EKS) アカウントトークンで AWS Identity and Access Management (IAM) ロールの権限を使用できません。

解決策

クラスターに既存の IAM OIDC プロバイダーがないか確認する

プロバイダーが既に存在する場合は、次のようなエラーが表示されます。 「WebIdentityErr: failed to retrieve credentials\ncaused by: InvalidIdentityToken: No OpenIDConnect provider found in your account for https://oidc.eks.eu-west-1.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E\n\tstatus code: 400";」

既存の IAM OIDC プロバイダーがないか確認するには、次の手順を実行します。

  1. クラスターの OIDC プロバイダー URL を確認します。

    $ aws eks describe-cluster --name cluster_name --query "cluster.identity.oidc.issuer" --output text

    出力例:

    https://oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E
  2. アカウントの IAM OIDC プロバイダーを一覧表示します。EXAMPLED539D4633E53DE1B716D3041E は、前のコマンドで返された値に置き換えてください。

    aws iam list-open-id-connect-providers | grep EXAMPLED539D4633E53DE1B716D3041E

    出力例:

    "Arn": "arn:aws:iam::111122223333:oidc-provider/oidc.eks.us-west-2.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"

コマンドが出力を返す場合は、クラスターのプロバイダーが既に存在します。コマンドが出力を返さない場合は、IAM OIDC プロバイダーを作成する必要があります。

IAM ロールに必要な権限と IAM ポリシーがアタッチされているかどうかを確認する

**注:**AWS コマンドラインインターフェイス (AWS CLI) コマンドの実行中にエラーが発生した場合は、「AWS CLI エラーのトラブルシューティング」を参照してください。また、必ずAWS CLI の最新バージョンを使用してください。

IAM ロールに必要な権限があることを確認するには、次の手順を実行します。

  1. IAM コンソールを開きます。
  2. ナビゲーションペインで [ロール] を選択します。
  3. 確認するロールを選択します。
  4. [アクセス権限] タブで、必要なポリシーがロールにアタッチされていることを確認します。
  5. IAM ロールの信頼関係が正しく設定されていることを確認します。

IAM ロールにポリシーがアタッチされていることを確認するには、次の手順を実行します。

  1. IAM コンソールを開きます。

  2. ナビゲーションペインで [ロール] を選択します。

  3. 確認するロールを選択します。

  4. [信頼関係] タブを選択します。ポリシーの形式が次の JSON ポリシーの形式と一致していることを確認します。

    {  "Version": "2012-10-17",
      "Statement": [
        {
          "Effect": "Allow",
          "Principal": {
            "Federated": "arn:aws:iam::ACCOUNT_ID:oidc-provider/oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"
          },
          "Action": "sts:AssumeRoleWithWebIdentity",
          "Condition": {
            "StringEquals": {
              "oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E:sub": "system:serviceaccount:SERVICE_ACCOUNT_NAMESPACE:SERVICE_ACCOUNT_NAME",
              "oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E:aud": "sts.amazonaws.com"
            }
          }
        }
      ]
    }

    信頼関係を確認するには、AWS コマンドラインインターフェイス (AWS CLI) で get-role コマンドを実行します。

    $ aws iam get-role --role-name EKS-IRSA

    **注:**EKS-IRSA はご自身の IAM ロール名に置き換えます。
    出力 JSON で、AssumeRolePolicyDocument セクションを見つけます。
    出力例:

    {  "Role": {
        "Path": "/",
        "RoleName": "EKS-IRSA",
        "RoleId": "AROAQ55NEXAMPLELOEISVX",
        "Arn": "arn:aws:iam::ACCOUNT_ID:role/EKS-IRSA",
        "CreateDate": "2021-04-22T06:39:21+00:00",
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Federated": "arn:aws:iam::ACCOUNT_ID:oidc-provider/oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E"
              },
              "Action": "sts:AssumeRoleWithWebIdentity",
              "Condition": {
                "StringEquals": {
                  "oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E:aud": "sts.amazonaws.com",
                  "oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E:sub": "system:serviceaccount:SERVICE_ACCOUNT_NAMESPACE:SERVICE_ACCOUNT_NAME"
                }
              }
            }
          ]
        },
        "MaxSessionDuration": 3600,
        "RoleLastUsed": {
          "LastUsedDate": "2021-04-22T07:01:15+00:00",
          "Region": "AWS_REGION"
        }
      }
    }

    **注:**ユースケースに応じて、AWS リージョン、Kubernetes サービスアカウント名、Kubernetes 名前空間を更新してください。

サービスアカウントが作成されているかどうかを確認する

以下のコマンドを実行します。

$ kubectl get sa -n YOUR_NAMESPACE

**注:**YOUR_NAMESPACE は Kubernetesの名前空間に置き換えてください。

出力例:

NAME      SECRETS   AGEdefault   1         28d
irsa      1         66m

サービスアカウントをお持ちでない場合は、Kubernetes ウェブサイトの「Configure service accounts for pods 」を参照してください。

サービスアカウントに正しい IAM ロールアノテーションがあることを確認する

サービスアカウントに正しい IAM ロールアノテーションがあることを確認するには、次のコマンドを実行します。

$ kubectl describe sa irsa -n YOUR_NAMESPACE

**注:**irsa はご自身の Kubernetes サービスアカウント名に、YOUR_NAMESPACE は Kubernetes 名前空間に置き換えてください。

出力例:

Name:                irsaNamespace:           default
Labels:              none
Annotations:         eks.amazonaws.com/role-arn: arn:aws:iam::ACCOUNT_ID:role/IAM_ROLE_NAME
Image pull secrets:  none
Mountable secrets:   irsa-token-v5rtc
Tokens:              irsa-token-v5rtc
Events:              none

ポッドで serviceAccountName が正しく指定されていることを確認する

serviceAccountName を確認するには、次のコマンドを実行します。

$ kubectl get pod POD_NAME  -o yaml -n YOUR_NAMESPACE| grep -i serviceAccountName:

**注:**POD\ _NAMEYOUR\ _NAMESPACE は、Kubernetes のポッドと名前空間に置き換えてください。

出力例:

serviceAccountName: irsa

環境変数と権限を確認する

ポッドの環境変数で AWS_ROLE_ARNAWS_WEB_IDENTITY_TOKEN_FILE を見つけます。

$ kubectl -n YOUR_NAMESPACE exec -it POD_NAME -- env | grep AWS

出力例:

AWS_REGION=ap-southeast-2AWS_ROLE_ARN=arn:aws:iam::111122223333:role/EKS-IRSA
AWS_WEB_IDENTITY_TOKEN_FILE=/var/run/secrets/eks.amazonaws.com/serviceaccount/token
AWS_DEFAULT_REGION=ap-southeast-2

サポートされている AWS SDK をアプリケーションが使用していることを確認する

SDK バージョンは次の値以上である必要があります。

Java (Version 2) — 2.10.11Java — 1.11.704
Go — 1.23.13
Python (Boto3) — 1.9.220
Python (botocore) — 1.12.200
AWS CLI — 1.16.232
Node — 3.15.0
Ruby — 2.11.345
C++ — 1.7.174
.NET — 3.3.659.1
PHP — 3.110.7

サポートされている最新の SDK バージョンを確認するには、「サポートされる AWS SDK の使用」を参照してください。

ポッドを再作成する

IRSA を適用する前にポッドを作成した場合は、次のコマンドを実行してポッドを再作成します。

$ kubectl rollout restart deploy nginx

出力例:

deployment.apps/nginx restarted

daemonset または statefulset のデプロイでは、次のコマンドを実行します。

$ kubectl rollout restart deploy DEPLOYMENT_NAME

ポッドを 1 つだけ作成した場合は、ポッドを削除して再作成する必要があります。

  1. 以下のコマンドを実行してポッドを削除します。
    $ kubectl delete pod POD_NAME
    **注:**POD_NAME は、ご自身のポッド名に置き換えてください。
  2. 次のコマンドを実行してポッドを再作成します。
    $ kubectl apply -f SPEC_FILE
    **注:**SPEC\ _FILE は、Kubernetes マニフェストのファイルパスとファイル名に置き換えてください。

オーディエンスが正しいことを確認する

OIDC プロバイダーを間違ったオーディエンスで作成すると、次のエラーが表示されます。 「Error - An error occurred (InvalidIdentityToken) when calling the AssumeRoleWithWebIdentity operation: Incorrect token audience」

クラスターの IAM ID プロバイダーを確認してください。ClientIDListsts.amazonaws.comです。

$ aws iam get-open-id-connect-provider --open-id-connect-provider-arn arn:aws:iam::ACCOUNT_ID:oidc-provider/oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E

出力例:

{  "Url": "oidc.eks.AWS_REGION.amazonaws.com/id/EXAMPLED539D4633E53DE1B716D3041E",
  "ClientIDList": [
    "sts.amazonaws.com"
  ],
  "ThumbprintList": [
    "9e99a48a9960b14926bb7f3b02e22da2b0ab7280"
  ],
  "CreateDate": "2021-01-21T04:29:09.788000+00:00",
  "Tags": []
}

正しいサムプリントが設定されていることを確認する

IAM OIDC で設定されているサムプリントが正しくない場合は、次のエラーが表示されます。「failed to retrieve credentials caused by: InvalidIdentityToken: OpenIDConnect provider's HTTPS certificate doesn't match configured thumbprint」

正しいサムプリントを自動的に設定するには、eksctl または AWS マネジメントコンソールを使用して IAM ID プロバイダーを作成します。サムプリントを取得する他の方法については、「OpenID Connect ID プロバイダーのサムプリントを取得する」を参照してください。

AWS 中国リージョンについては、AWS\ _DEFAULT\ _REGION 環境変数を確認してください

AWS 中国リージョンのクラスターにデプロイされた IRSA 適用ポッドまたは daemonset の場合は、ポッド仕様で AWS\ _DEFAULT\ _REGION 環境変数を設定します。この変数を設定しないと、ポッドまたは daemonset に次のエラーが表示されることがあります。「An error occurred (InvalidClientTokenId) when calling the GetCallerIdentity operation: The security token included in the request is invalid」

AWS\ _DEFAULT\ _REGION 環境変数をポッドまたは daemonset の仕様に追加するには、次の例のようなコマンドを実行します。

apiVersion: apps/v1kind: Deployment
metadata:
  name: my-app
spec:
  template:
    metadata:
      labels:
        app: my-app
    spec:
      serviceAccountName: my-app
      containers:
      - name: my-app
        image: my-app:latest
        env:
        - name: AWS_DEFAULT_REGION
          value: "AWS_REGION"
...
AWS公式
AWS公式更新しました 8ヶ月前
コメントはありません

関連するコンテンツ