El producto descrito en esta documentación, GKE en AWS, ahora está en modo de mantenimiento y se cerrará el 17 de marzo de 2027.

Esta página se ha traducido con Cloud Translation API.

Descripción general de la autenticación

Esta página describe cómo GKE en AWS maneja la autenticación paraGoogle Cloud y autenticación de usuarios en sus clústeres.

Cómo se conecta GKE en AWS a AWS

Para obtener más información sobre cómo GKE en AWS usa los roles de AWS IAM para conectarse a AWS, consulte Roles de AWS IAM .

Autenticación

Autenticación de API multinube de GKE

Utiliza la API Multi-Cloud de GKE para crear, actualizar y eliminar clústeres y grupos de nodos. Al igual que con otros Google Cloud API, puede utilizar esta API con REST, Google Cloud CLI o Google Cloud consola.

Para obtener más información, consulte Google Cloud Descripción general de la autenticación y documentación de referencia de la API de GKE Multi-Cloud .

Autenticación de la API de Kubernetes

Puede usar la herramienta de línea de comandos kubectl para realizar operaciones en el clúster, como implementar una carga de trabajo y configurar un balanceador de carga. La herramienta kubectl se conecta a la API de Kubernetes en el plano de control del clúster. Para llamar a esta API, debe autenticarse con credenciales autorizadas.

Para obtener credenciales, puede utilizar uno de los siguientes métodos:

Google Identity , que permite a los usuarios iniciar sesión con su Google Cloud Identidad. Utilice esta opción si sus usuarios ya tienen acceso a Google Cloud con una identidad de Google.
Servicio de identidad de GKE , que permite a los usuarios iniciar sesión mediante OpenID Connect (OIDC) o AWS IAM.

El servicio de identidad de GKE le permite utilizar proveedores de identidad como Okta , Active Directory Federation Services (ADFS) o cualquier proveedor de identidad compatible con OIDC .

Autorización

GKE en AWS cuenta con dos métodos de control de acceso: la API Multi-Cloud de GKE y el control de acceso basado en roles (RBAC) . Esta sección describe las diferencias entre estos métodos.

Lo mejor es adoptar un enfoque por capas para proteger sus clústeres y cargas de trabajo. Puede aplicar el principio de privilegio mínimo al nivel de acceso que proporciona a sus usuarios y cargas de trabajo. Es posible que deba hacer concesiones para lograr el nivel adecuado de flexibilidad y seguridad.

Control de acceso a la API multicloud de GKE

La API Multi-Cloud de GKE permite a los administradores de clústeres crear, actualizar y eliminar clústeres y grupos de nodos. Los permisos de la API se administran con Identity and Access Management (IAM). Para usar la API, los usuarios deben tener los permisos adecuados. Para conocer los permisos necesarios para cada operación, consulte Roles y permisos de la API . IAM permite definir roles y asignarlos a entidades de seguridad . Un rol es un conjunto de permisos que, al asignarse a una entidad de seguridad, controla el acceso a uno o más. Google Cloudrecursos .

Al crear un clúster o grupo de nodos en una organización, carpeta o proyecto, los usuarios con los permisos adecuados en esa organización, carpeta o proyecto pueden modificarlo. Por ejemplo, si otorga a un usuario el permiso para eliminar un clúster en unGoogle Cloud A nivel de proyecto, ese usuario puede eliminar cualquier clúster de ese proyecto. Para más información, consulte Google Cloud Jerarquía de recursos y creación de políticas de IAM .

Control de acceso a la API de Kubernetes

La API de Kubernetes permite administrar objetos de Kubernetes . Para administrar el control de acceso en la API de Kubernetes, se utiliza el control de acceso basado en roles (RBAC). Para obtener más información, consulte "Configurar el control de acceso basado en roles" en la documentación de GKE.

Acceso de administrador

Al usar la CLI de gcloud para crear un clúster, la API Multi-Cloud de GKE agrega su cuenta de usuario como administrador y crea políticas RBAC adecuadas que le otorgan acceso administrativo completo al clúster. Para configurar diferentes usuarios, utilice el indicador --admin-users al crear o actualizar un clúster. Al usar el indicador --admin-users , debe incluir a todos los usuarios que pueden administrar el clúster. La CLI de gcloud no incluye al usuario que crea el clúster.

También puedes agregar usuarios administradores usando el Google Cloud consola. Para obtener más información, consulte Actualizar el clúster .

Para ver la configuración de acceso de su clúster, ejecute el siguiente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Además de las políticas de RBAC para acceder al servidor de API de Kubernetes, si un usuario administrador no es el propietario del proyecto, debe otorgarle roles de IAM específicos que le permitan autenticarse con su identidad de Google. Para obtener más información sobre cómo conectarse al clúster, consulte Conectarse y autenticarse en el clúster .

¿Qué sigue?

Para configurar OIDC, consulte Administrar identidad con el servicio de identidad de GKE .
Conéctese y autentíquese en su clúster .