Esta documentação é referente à versão atual do GKE na AWS, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Esta página foi traduzida pela API Cloud Translation.

Visão geral da autenticação

Esta página descreve como o GKE na AWS lida com a autenticação no Google Cloud e a autenticação do usuário nos clusters.

Como o GKE na AWS se conecta à AWS

Para mais informações sobre como o GKE na AWS usa papéis do IAM da AWS para se conectar à AWS, consulte Papéis do IAM da AWS.

Autenticação

Autenticação da API GKE Multi-Cloud

Use a API GKE Multi-Cloud para criar, atualizar e excluir clusters e pools de nós. Assim como acontece com outras APIs Google Cloud , é possível usar essa API com REST, Google Cloud CLI ou o console Google Cloud .

Para mais informações, consulte a visão geral da autenticaçãoGoogle Cloud e a documentação de referência da API GKE Multi-Cloud.

Autenticação da API Kubernetes

Use a ferramenta de linha de comando kubectl para executar operações de cluster, como implantar uma carga de trabalho e configurar um balanceador de carga. A ferramenta kubectl se conecta à API Kubernetes no plano de controle do cluster. Para chamar essa API, é necessário autenticar com as credenciais permitidas.

Para receber credenciais, use um dos seguintes métodos:

Identidade do Google, que permite que os usuários façam login usando a identidade do Google Cloud . Use essa opção se seus usuários já tiverem acesso ao Google Cloud com uma identidade do Google.
GKE Identity Service, que permite aos usuários fazer login usando o OpenID Connect (OIDC) ou o IAM da AWS.

O GKE Identity Service permite que você use provedores de identidade, como Okta, Serviços de federação do Active Directory (ADFS, na sigla em inglês) ou qualquer provedor de identidade compatível com OIDC.

Autorização

O GKE na AWS tem dois métodos para controle de acesso: a API GKE Multi-cloud e o controle de acesso baseado em papéis (RBAC). Nesta seção, descrevemos as diferenças entre esses métodos.

É melhor adotar uma abordagem em camadas para proteger clusters e cargas de trabalho. É possível aplicar o princípio do menor privilégio ao nível de acesso fornecido a usuários e cargas de trabalho. Talvez seja necessário fazer concessões para permitir o nível correto de flexibilidade e segurança.

Controle de acesso da API GKE Multi-Cloud

A API GKE Multi-Cloud permite que os administradores de cluster criem, atualizem e excluam clusters e pools de nós. Gerencie as permissões da API com o gerenciamento de identidade e acesso (IAM). Para usar a API, os usuários precisam ter as permissões apropriadas. Para conhecer as permissões necessárias a cada operação, veja Papéis e permissões da API. O IAM permite definir papéis e atribuí-los aos principais. Um papel é um conjunto de permissões e, quando atribuído a um participante, controla o acesso a um ou mais Google Cloud recursos.

Quando você cria um cluster ou pool de nós em uma organização, pasta ou projeto, os usuários com as permissões adequadas nessa organização, pasta ou projeto podem modificá-lo. Por exemplo, se você conceder a um usuário uma permissão de exclusão de cluster no nível do projetoGoogle Cloud , esse usuário poderá excluir qualquer cluster nesse projeto. Para mais informações, consulte Hierarquia de recursos doGoogle Cloud e Como criar políticas do IAM.

Controle de acesso à API Kubernetes

A API Kubernetes permite gerenciar objetos do Kubernetes. Para gerenciar o controle de acesso na API Kubernetes, use o controle de acesso baseado em papéis (RBAC, na sigla em inglês). Para mais informações, veja Como configurar o controle de acesso baseado em papéis na documentação do GKE.

Acesso de administrador

Quando você usa a CLI gcloud para criar um cluster, por padrão, a API GKE Multi-Cloud adiciona sua conta de usuário como administrador e cria políticas apropriadas do RBAC que concedem acesso administrativo total ao cluster. Para configurar usuários diferentes, transmita a sinalização --admin-users ao criar ou atualizar um cluster. Ao usar a sinalização --admin-users, inclua todos os usuários que podem administrar o cluster. A CLI gcloud não inclui o usuário que cria o cluster.

Também é possível adicionar usuários administradores usando o Google Cloud console. Para mais informações, consulte Atualizar o cluster.

Para ver a configuração do acesso ao cluster, execute o seguinte comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Além das políticas do RBAC para acessar o servidor da API Kubernetes, se um usuário administrador não for proprietário de um projeto, você precisará conceder papéis do IAM específicos que permitam que os usuários administradores se autentiquem usando a identidade do Google deles. Para mais informações sobre como se conectar ao cluster, consulte Conectar e autenticar seu cluster.

A seguir

Para configurar o OIDC, consulte Gerenciar a identidade com o GKE Identity Service.
Conectar-se e autenticar-se no cluster.