Das in dieser Dokumentation beschriebene Produkt GKE on AWS befindet sich jetzt im Wartungsmodus und wird am 17. März 2027 eingestellt.

Diese Seite wurde von der Cloud Translation API übersetzt.

Informationen zu AWS-IAM-Rollen

Auf dieser Seite wird beschrieben, wie Google Cloud AWS-Berechtigungen und -Rollen (AWS Identity and Access Management) für Ihre GKE-Cluster in AWS verwaltet. Google Cloud

GKE on AWS verwendet die AWS API, um Ressourcen wie EC2-Instanzen, Autoscaling-Gruppen und Load Balancer für GKE on AWS-Komponenten und Ihre Arbeitslasten zu erstellen. Sie müssen Google Cloud AWS IAM-Berechtigungen erteilen, um diese Ressourcen zu erstellen.

Zugriff von GKE on AWS auf die AWS API

GKE on AWS verwendet die Identitätsföderation in AWS, um einen detaillierten Zugriff auf Ihr AWS-Konto zu verwalten. Wenn GKE on AWS eine Aktion für Ihren Cluster ausführen muss, fordert sie ein kurzlebiges Token von AWS an. Die GKE Multi-Cloud API-Rolle verwendet dieses Token zur Authentifizierung bei AWS.

Kundenservicemitarbeiter

Wenn Sie Google Cloud Zugriff zum Erstellen, Aktualisieren, Löschen und Verwalten von Clustern in Ihrem AWS-Konto gewähren möchten, erstellt GKE on AWS einen Dienst-Agent in Ihrem Google Cloud Projekt. Der Dienst-Agent ist ein von Google verwaltetes Dienstkonto, das die AWS-IAM-Rolle der GKE Multi-Cloud API verwendet. Sie müssen in jedem Projekt, über das Sie GKE-Cluster verwalten, eine AWS IAM-Rolle für den Dienst-Agent erstellen. Google Cloud Der Dienst-Agent verwendet die E-Mail-Adresse service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com. Weitere Informationen zu den Google Cloud IAM-Berechtigungen finden Sie unter Anthos Multi-Cloud Service Agent.

AWS IAM-Berechtigungen für GKE on AWS

Sie können Rollen erstellen, die standardmäßige AWS-IAM-Rollen verwenden, oder eigene benutzerdefinierte AWS-IAM-Richtlinien erstellen, die den Anforderungen Ihrer Organisation entsprechen.

Standardrichtlinien verwenden

Eine AWS-IAM-Richtlinie ist eine Sammlung von Berechtigungen. Zum Gewähren von Berechtigungen zum Erstellen und Verwalten von Clustern müssen Sie zuerst AWS IAM-Richtlinien für die folgenden Rollen erstellen:

Rolle „GKE Multi-Cloud API-Dienst-Agent“: Die GKE Multi-Cloud API verwendet diese AWS IAM-Rolle, um Ressourcen mit AWS APIs zu verwalten. Diese Rolle wird von einem von Google verwalteten Dienstkonto verwendet, das als Dienst-Agent bezeichnet wird.
AWS-IAM-Rolle der Steuerungsebene: Ihre Clustersteuerungsebene verwendet diese Rolle zur Steuerung der Knotenpools.
AWS-IAM-Rolle für Knotenpool: Die Steuerungsebene verwendet diese Rolle zum Erstellen von Knotenpool-VMs.

Informationen zum Verwenden von vorgeschlagenen AWS IAM-Rollen für GKE on AWS zum Verwalten von Clustern finden Sie unter AWS IAM-Rollen erstellen.

Benutzerdefinierte IAM-Richtlinien erstellen

Wenn Sie Berechtigungen weiter einschränken möchten, können Sie anstelle von vorgeschlagenen Richtlinien benutzerdefinierte AWS-IAM-Richtlinien erstellen, die GKE on AWS zulassen. Sie können beispielsweise Berechtigungen für Berechtigungen auf Ressourcen mit einem bestimmten Tag oder Ressourcen in einer bestimmten AWS-VPC beschränken.

Zugriff mit Tags steuern

Sie können mithilfe von AWS-Tags AWS-IAM-Richtlinien einschränken, um Aktionen nur für eine begrenzte Anzahl von Ressourcen zuzulassen. Jede Rolle mit diesem Tag im Bedingungsfeld ist auf den Betrieb von Ressourcen mit demselben Tag beschränkt. Damit können Sie die Verwaltung von Rollen auf Ressourcen in einem bestimmten Cluster oder Knotenpool beschränken.

Fügen Sie den Wert des Tags in das Feld Condition der Richtlinie ein und übergeben Sie dann den Tagwert, wenn Sie den Cluster und die Knotenpools erstellen, wenn Sie eine AWS-IAM-Richtlinie so einschränken möchten, dass sie nur auf Ressourcen mit einem bestimmten Tag angewendet wird. GKE on AWS wendet dieses Tag an, wenn Ressourcen erstellt werden.

Weitere Informationen zu Tags finden Sie unter AWS-Ressourcen taggen. Weitere Informationen zur Verwendung von Tags mit einer AWS-Richtlinie finden Sie unter Zugriff auf AWS-Ressourcen steuern.

Weitere Informationen zum Erstellen von Clusterressourcen mit einem bestimmten Tag finden Sie in der Referenzdokumentation zu gcloud container aws clusters create und gcloud container aws node-pools create.

Eine Liste der spezifischen Berechtigungen, die GKE on AWS für jede Richtlinie benötigt, finden Sie in der AWS-IAM-Rollenliste.

Informationen zu AWS-IAM-Rollen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.