Il prodotto descritto da questa documentazione, GKE su AWS, è ora in modalità di manutenzione e verrà chiuso il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dell'autenticazione

Questa pagina descrive come GKE on AWS gestisce l'autenticazione ai propri cluster e l'autenticazione utente.Google Cloud

Come GKE su AWS si connette ad AWS

Per ulteriori informazioni su come GKE su AWS utilizza i ruoli IAM AWS per connettersi ad AWS, consulta Ruoli IAM AWS.

Autenticazione

Autenticazione dell'API GKE Multi-cloud

L'API GKE Multi-Cloud consente di creare, aggiornare ed eliminare i cluster e i pool di nodi. Come per le altre Google Cloud API, puoi utilizzare questa API con REST, Google Cloud CLI o la Google Cloud console.

Per ulteriori informazioni, consulta la panoramica dell'autenticazioneGoogle Cloud e la documentazione di riferimento dell'API GKE Multi-Cloud.

Autenticazione API Kubernetes

Puoi utilizzare lo strumento a riga di comando kubectl per eseguire operazioni sul cluster come il deployment di un carico di lavoro e la configurazione di un bilanciatore del carico. Lo strumento kubectl si connette all'API Kubernetes nel piano di controllo del cluster. Per chiamare questa API, devi autenticarti con le credenziali autorizzate.

Per ottenere le credenziali, puoi utilizzare uno dei seguenti metodi:

Identità Google, che consente agli utenti di accedere utilizzando la propria Google Cloud identità. Utilizza questa opzione se i tuoi utenti hanno già accesso a Google Cloud con un'identità Google.
GKE Identity Service, che consente agli utenti di accedere utilizzando OpenID Connect (OIDC) o AWS IAM.

GKE Identity Service ti consente di utilizzare provider di identità come Okta, Active Directory Federation Services (ADFS) o qualsiasi OIDC conforme.

Autorizzazione

GKE su AWS dispone di due metodi per controllo dell'accesso'accesso: l'API GKE Multi-Cloud e il controllo controllo dell'accesso basato sui ruoli (RBAC). Questa sezione descrive le differenze tra questi metodi.

È preferibile adottare un approccio a più livelli per proteggere i cluster e i carichi di lavoro. Puoi applicare il principio del privilegio minimo al livello di accesso che fornisci agli utenti e ai workload. Potresti dover fare dei compromessi per garantire il giusto livello di flessibilità e sicurezza.

Controllo dell'accesso all'API GKE Multi-Cloud

L'API GKE Multi-Cloud consente agli amministratori di cluster di creare, aggiornare ed eliminare i cluster e i node pool. Gestisci le autorizzazioni per l'API con Identity and Access Management (IAM). Per utilizzare l'API, gli utenti devono disporre delle autorizzazioni appropriate. Per le autorizzazioni necessarie per ogni operazione, vedi Ruoli e autorizzazioni API. IAM ti consente di definire ruoli e assegnarli a entità. Un ruolo è una raccolta di autorizzazioni e, se assegnato a un'entità, controlla l'accesso a una o più Google Cloud risorse.

Quando crei un cluster o un pool di nodi in un'organizzazione, una cartella o un progetto, gli utenti con le autorizzazioni appropriate in quell'organizzazione, cartella o progetto possono modificarlo. Ad esempio, se concedi a un utente l'autorizzazione di eliminazione di un cluster a livello diGoogle Cloud progetto, l'utente può eliminare qualsiasi cluster nel progetto. Per saperne di più, consulta la gerarchia delle risorseGoogle Cloud e la creazione di criteri IAM.

Controllo dell'accesso'API Kubernetes

L'API Kubernetes ti consente di gestire oggetti Kubernetes. Per gestire controllo dell'accesso dell'accesso sull'API Kubernetes, utilizza il controllo degli accessi basato sui ruoli (RBAC). Per ulteriori informazioni, consulta la pagina sulla configurazione del controllo degli accessi basato sui ruoli nella documentazione di GKE.

Accesso come amministratore

Quando utilizzi la gcloud CLI per creare un cluster, per impostazione predefinita l'API GKE Multi-Cloud aggiunge il tuo account utente come amministratore e crea i criteri RBAC appropriati che ti concedono l'accesso amministrativo completo al cluster. Per configurare utenti diversi, passa il --admin-users flag quando crei o aggiorni un cluster. Quando utilizzi il flag --admin-users, devi includere tutti gli utenti che possono amministrare il cluster. gcloud CLI non include l'utente che crea il cluster.

Puoi anche aggiungere utenti amministratore utilizzando la Google Cloud console. Per ulteriori informazioni, consulta Aggiornare il cluster.

Per visualizzare la configurazione dell'accesso del cluster, esegui il seguente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Oltre ai criteri RBAC per accedere al server API Kubernetes, se un utente amministratore non è un proprietario del progetto, devi concedere ruoli IAM specifici che consentano agli utenti amministratore di autenticarsi utilizzando la propria identità Google. Per ulteriori informazioni su come connetterti al cluster, consulta Connessione al cluster e autenticazione.

Passaggi successivi

Per configurare OIDC, consulta Gestire l'identità con GKE Identity Service.
Connettiti e autenticati al cluster.