4.3. CLI を使用した OIDC プロバイダーの作成

Red Hat OpenShift Service on AWS (ROSA) CLI (rosa) を使用して、AWS アカウントでホストされる OIDC プロバイダーを作成できます。

前提条件

  • ROSA CLI の最新バージョンがインストールされている。

手順

  • 未登録または登録済みの OIDC 設定を使用して OIDC プロバイダーを作成する方法

    • 未登録の OIDC 設定では、クラスターを通じて OIDC プロバイダーを作成する必要があります。次のコマンドを実行して OIDC プロバイダーを作成します。

      $ rosa create oidc-provider --mode manual --cluster <cluster_name>
      注記

      manual モードを使用すると、aws コマンドはレビュー用に端末に出力されます。aws コマンドを確認したら、手動で実行する必要があります。または、rosa create コマンドで --mode auto を指定して、aws コマンドを即時に実行することができます。

      コマンド出力

      aws iam create-open-id-connect-provider \
      	--url https://oidc.op1.openshiftapps.com/<oidc_config_id> \1
      	--client-id-list openshift sts.<aws_region>.amazonaws.com \
      	--thumbprint-list <thumbprint> 2

      1
      クラスターの作成後に OpenID Connect (OIDC) ID プロバイダーにアクセスするために使用する URL。
      2
      サムプリントは、rosa create oidc-provider コマンドの実行時に自動的に生成されます。AWS Identity and Access Management (IAM) OIDC ID プロバイダーでサムプリントをしようする方法の詳細は、AWS ドキュメント を参照してください。
    • 登録された OIDC 設定は、OIDC 設定 ID を使用します。OIDC 設定 ID を指定して次のコマンドを実行します。

      $ rosa create oidc-provider --oidc-config-id <oidc_config_id> --mode auto -y

      コマンド出力

      I: Creating OIDC provider using 'arn:aws:iam::4540112244:user/userName'
      I: Created OIDC provider with ARN 'arn:aws:iam::4540112244:oidc-provider/dvbwgdztaeq9o.cloudfront.net/241rh9ql5gpu99d7leokhvkp8icnalpf'