O produto descrito nesta documentação, GKE na AWS, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Visão geral da autenticação

Esta página descreve como o GKE na AWS lida com a autenticação paraGoogle Cloud e autenticação de usuários em seus clusters.

Como o GKE na AWS se conecta à AWS

Para obter mais informações sobre como o GKE na AWS usa funções do AWS IAM para se conectar à AWS, consulte Funções do AWS IAM .

Autenticação

Autenticação da API Multi-Cloud do GKE

Use a API Multi-Cloud do GKE para criar, atualizar e excluir clusters e pools de nós. Assim como em outros Google Cloud APIs, você pode usar esta API com REST, Google Cloud CLI ou Google Cloud console.

Para mais informações, consulte Google Cloud Visão geral da autenticação e documentação de referência da API Multi-Cloud do GKE .

Autenticação da API do Kubernetes

Você pode usar a ferramenta de linha de comando kubectl para executar operações de cluster, como implantar uma carga de trabalho e configurar um balanceador de carga. A ferramenta kubectl se conecta à API do Kubernetes no plano de controle do seu cluster. Para chamar essa API, você precisa se autenticar com credenciais autorizadas.

Para obter credenciais, você pode usar um dos seguintes métodos:

Google Identity , que permite que os usuários façam login usando seus Google Cloud identidade. Use esta opção se seus usuários já tiverem acesso a Google Cloud com uma identidade do Google.
Serviço de identidade do GKE , que permite que os usuários façam login usando o OpenID Connect (OIDC) ou o AWS IAM.

O GKE Identity Service permite que você use provedores de identidade como Okta , Active Directory Federation Services (ADFS) ou qualquer provedor de identidade compatível com OIDC .

Autorização

O GKE na AWS tem dois métodos de controle de acesso: a API Multi-Cloud do GKE e o controle de acesso baseado em função (RBAC) . Esta seção descreve as diferenças entre esses métodos.

É melhor adotar uma abordagem em camadas para proteger seus clusters e cargas de trabalho. Você pode aplicar o princípio do privilégio mínimo ao nível de acesso que fornece aos seus usuários e cargas de trabalho. Pode ser necessário fazer concessões para garantir o nível adequado de flexibilidade e segurança.

Controle de acesso à API Multi-Cloud do GKE

A API Multi-Cloud do GKE permite que administradores de cluster criem, atualizem e excluam clusters e pools de nós. Você gerencia as permissões da API com o Gerenciamento de Identidade e Acesso (IAM). Para usar a API, os usuários precisam ter as permissões apropriadas. Para saber as permissões necessárias para cada operação, consulte Funções e permissões da API . O IAM permite definir funções e atribuí-las a entidades principais . Uma função é um conjunto de permissões e, quando atribuída a uma entidade principal, controla o acesso a uma ou mais Google Cloudrecursos .

Ao criar um cluster ou pool de nós em uma organização, pasta ou projeto, usuários com permissões apropriadas nessa organização, pasta ou projeto podem modificá-lo. Por exemplo, se você conceder a um usuário a permissão de exclusão de cluster em umGoogle Cloud nível do projeto, esse usuário pode excluir qualquer cluster nesse projeto. Para obter mais informações, consulte Google Cloud hierarquia de recursos e criação de políticas de IAM .

Controle de acesso à API do Kubernetes

A API do Kubernetes permite gerenciar objetos do Kubernetes . Para gerenciar o controle de acesso na API do Kubernetes, use o controle de acesso baseado em função (RBAC). Para obter mais informações, consulte "Configurando o controle de acesso baseado em função" na documentação do GKE.

Acesso de administrador

Ao usar a CLI gcloud para criar um cluster, por padrão, a API GKE Multi-Cloud adiciona sua conta de usuário como administrador e cria políticas RBAC apropriadas que concedem acesso administrativo total ao cluster. Para configurar usuários diferentes, passe a sinalização --admin-users ao criar ou atualizar um cluster. Ao usar a sinalização --admin-users , você deve incluir todos os usuários que podem administrar o cluster. A CLI gcloud não inclui o usuário que cria o cluster.

Você também pode adicionar usuários administradores usando o Google Cloud console. Para obter mais informações, consulte Atualizar seu cluster .

Para ver a configuração de acesso do seu cluster, execute o seguinte comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Além das políticas do RBAC para acessar o servidor da API do Kubernetes, se um usuário administrador não for proprietário do projeto, você precisará conceder funções específicas do IAM que permitam que os usuários administradores se autentiquem usando sua identidade do Google. Para obter mais informações sobre como se conectar ao cluster, consulte Conectar e autenticar no seu cluster .

O que vem a seguir

Para configurar o OIDC, consulte Gerenciar identidade com o GKE Identity Service .
Conecte-se e autentique-se no seu cluster .