Questa pagina descrive come Google Cloud gestisci i ruoli e le autorizzazioni di Identity and Access Management (IAM) di AWS per GKE su AWS.
GKE su AWS utilizza l'API AWS per creare risorse come istanze EC2, gruppi di scalabilità automatica e bilanciatori del carico sia per i componenti GKE su AWS sia per i tuoi carichi di lavoro. Devi fornire Google Cloud le autorizzazioni AWS IAM per creare queste risorse.
In che modo GKE su AWS accede all'API AWS
GKE su AWS utilizza la federazione delle identità in AWS per gestire l'accesso granulare al tuo account AWS. Quando GKE su AWS deve intraprendere un'azione per il tuo cluster, richiede un token di breve durata da AWS. Il ruolo dell'API multi-cloud GKE utilizza questo token per autenticarsi su AWS.
Agenti di servizio
Per concedere l' Google Cloud accesso per creare, aggiornare, eliminare e gestire i cluster nel tuo account AWS, GKE su AWS crea un agente di servizio nel tuo Google Cloud progetto. L'agente di servizio è un account di servizio gestito da Google che utilizza il ruolo IAM AWS dell'API GKE Multi-Cloud.
Devi creare un ruolo AWS IAM per l'agente di servizio in ogni Google Cloud progetto da cui gestisci i cluster GKE.
L'agente di servizio utilizza l'indirizzo email
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Per ulteriori informazioni sulle Google Cloud autorizzazioni IAM,
consulta
Anthos Multi-Cloud Service Agent.
Autorizzazioni AWS IAM per GKE su AWS
Puoi creare ruoli che utilizzano i ruoli IAM AWS predefiniti o creare i tuoi policy IAM AWS personalizzati che soddisfano i requisiti della tua organizzazione.
Utilizzare i criteri predefiniti
Un criterio AWS IAM è un insieme di autorizzazioni. Per concedere le autorizzazioni per creare e gestire i cluster, devi prima creare i criteri IAM AWS per i seguenti ruoli:
- Ruolo dell'agente di servizio dell'API GKE Multi-Cloud
- L'API GKE Multi-Cloud utilizza questo ruolo IAM AWS per gestire le risorse utilizzando le API AWS. Questo ruolo viene utilizzato da un account di servizio gestito da Google noto come agente di servizio.
- Ruolo AWS IAM del control plane
- Il piano di controllo del cluster utilizza questo ruolo per controllare i pool di nodi.
- Ruolo AWS IAM del pool di nodi
- Il piano di controllo utilizza questo ruolo per creare VM del pool di nodi.
Per utilizzare i ruoli AWS IAM suggeriti per GKE su AWS per gestire i cluster, consulta Creare ruoli AWS IAM.
Creare criteri IAM personalizzati
Per limitare ulteriormente le autorizzazioni, anziché utilizzare i criteri suggeriti, puoi creare criteri AWS IAM personalizzati che consentano GKE su AWS. Ad esempio, puoi limitare le autorizzazioni alle risorse con un determinato tag o alle risorse in una VPC AWS specifica
Controllo dell'accesso con i tag
Puoi limitare i criteri AWS IAM in modo da consentire azioni solo su un insieme limitato di risorse utilizzando i tag AWS. Qualsiasi ruolo con il tag specificato nel suo campo condizione sarà limitato a operare sulle risorse con lo stesso tag. Puoi utilizzarlo per limitare i ruoli amministrativi all'azione sulle risorse in un cluster o un pool di nodi specifico.
Per limitare l'applicazione di un criterio IAM AWS solo alle risorse con un tag specifico, includere il valore del tag nel campo Condition del criterio, quindi passare il valore del tag quando crei il cluster e i pool di nodi. GKE su AWS
applica questo tag quando crea risorse.
Per ulteriori informazioni sui tag, consulta Tagging delle risorse AWS. Per ulteriori informazioni sull'utilizzo dei tag con un criterio AWS, consulta Controllare l'accesso alle risorse AWS.
Per scoprire di più sulla creazione di risorse del cluster con un tag specifico, consulta la documentazione di riferimento di
gcloud container aws clusters create
e
gcloud container aws node-pools create.
Per un elenco delle autorizzazioni specifiche di cui GKE su AWS ha bisogno per ogni criterio, consulta l'elenco dei ruoli AWS IAM.