Halaman ini menjelaskan cara Google Cloud mengelola izin dan peran AWS Identity and Access Management (IAM) untuk GKE di AWS.
GKE di AWS menggunakan AWS API untuk membuat resource seperti instance EC2, grup penskalaan otomatis, dan load balancer untuk komponen GKE di AWS dan workload Anda. Anda harus memberikan izin AWS IAM ke Google Cloud untuk membuat resource ini.
Cara GKE di AWS mengakses AWS API
GKE di AWS menggunakan penggabungan identitas di AWS untuk mengelola akses terperinci ke akun AWS Anda. Saat GKE on AWS perlu melakukan tindakan untuk cluster Anda, GKE on AWS akan meminta token berumur singkat dari AWS. Peran GKE Multi-Cloud API menggunakan token ini untuk melakukan autentikasi ke AWS.
Agen layanan
Untuk memberikan Google Cloud akses untuk membuat, memperbarui, menghapus, dan
mengelola cluster di akun AWS Anda, GKE di AWS membuat
Agen layanan di project Google Cloud Anda. Agen layanan adalah
akun layanan yang dikelola Google yang
menggunakan peran IAM AWS GKE Multi-Cloud API.
Anda harus membuat peran IAM AWS untuk
agen layanan di setiap Google Cloud project tempat Anda mengelola cluster GKE.
Agen layanan menggunakan alamat email
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Untuk mengetahui informasi selengkapnya tentang izin IAM, lihat Agen Layanan Multi-Cloud Anthos. Google Cloud
Izin IAM AWS untuk GKE di AWS
Anda dapat membuat peran yang menggunakan peran AWS IAM default, atau membuat kebijakan AWS IAM kustom sendiri yang memenuhi persyaratan organisasi Anda.
Menggunakan kebijakan default
Kebijakan AWS IAM adalah kumpulan izin. Untuk memberikan izin guna membuat dan mengelola cluster, Anda harus membuat kebijakan IAM AWS terlebih dahulu untuk peran berikut:
- Peran agen layanan GKE Multi-Cloud API
- GKE Multi-Cloud API menggunakan peran AWS IAM ini untuk mengelola resource menggunakan AWS API. Peran ini digunakan oleh akun layanan yang dikelola Google yang dikenal sebagai agen layanan.
- Peran IAM AWS bidang kontrol
- Bidang kontrol cluster Anda menggunakan peran ini untuk mengontrol node pool.
- Peran IAM AWS node pool
- Bidang kontrol menggunakan peran ini untuk membuat VM node pool.
Untuk menggunakan peran AWS IAM yang disarankan untuk GKE di AWS guna mengelola cluster, lihat Membuat peran AWS IAM.
Membuat kebijakan IAM kustom
Untuk lebih membatasi izin, alih-alih menggunakan kebijakan yang disarankan, Anda dapat membuat kebijakan AWS IAM kustom yang mengizinkan GKE di AWS. Misalnya, Anda dapat membatasi izin ke izin untuk resource dengan tag tertentu, atau resource di AWS VPC tertentu
Mengontrol akses dengan tag
Anda dapat membatasi kebijakan AWS IAM untuk mengizinkan tindakan hanya pada serangkaian resource terbatas, menggunakan tag AWS. Setiap peran dengan tag tersebut yang ditentukan di kolom kondisinya akan dibatasi untuk beroperasi pada resource dengan tag yang sama. Anda dapat menggunakan ini untuk membatasi peran administratif agar hanya bertindak pada resource di cluster atau node pool tertentu.
Untuk membatasi kebijakan IAM AWS agar hanya berlaku untuk resource dengan tag tertentu, sertakan nilai tag di kolom Condition kebijakan, lalu teruskan nilai tag saat Anda membuat cluster dan node pool. GKE di AWS
menerapkan tag ini saat membuat resource.
Untuk mengetahui informasi selengkapnya tentang tag, lihat artikel Memberi tag pada resource AWS. Untuk mengetahui informasi selengkapnya tentang cara menggunakan tag dengan kebijakan AWS, lihat artikel Mengontrol akses ke resource AWS.
Untuk mengetahui informasi selengkapnya tentang cara membuat resource cluster dengan tag tertentu, lihat dokumentasi referensi
gcloud container aws clusters create
dan
gcloud container aws node-pools create.
Untuk mengetahui daftar izin spesifik yang diperlukan GKE di AWS untuk setiap kebijakan, lihat daftar peran IAM AWS.