Esta página descreve como Google Cloud gerencia permissões e funções do AWS Identity and Access Management (IAM) para seu GKE na AWS.
O GKE na AWS usa a API da AWS para criar recursos como instâncias do EC2, grupos de dimensionamento automático e balanceadores de carga para componentes do GKE na AWS e suas cargas de trabalho. Você deve fornecer Google Cloud com permissões do AWS IAM para criar esses recursos.
Como o GKE na AWS acessa a API da AWS
O GKE na AWS usa federação de identidades na AWS para gerenciar o acesso refinado à sua conta da AWS. Quando o GKE na AWS precisa executar uma ação no seu cluster, ele solicita um token de curta duração da AWS. A função da API Multi-Cloud do GKE usa esse token para autenticação na AWS.
Agentes de serviço
Para conceder Google Cloud acesso para criar, atualizar, excluir e gerenciar clusters em sua conta da AWS, o GKE na AWS cria um agente de serviço em sua Google Cloud projeto. O agente de serviço é uma conta de serviço gerenciada pelo Google que usa a função do GKE Multi-Cloud API AWS IAM . Você deve criar uma função do AWS IAM para o agente de serviço em cada Google Cloud Projeto de onde você gerencia clusters do GKE. O agente de serviço usa o endereço de e-mail service- PROJECT_NUMBER @gcp-sa-gkemulticloud.iam.gserviceaccount.com . Para mais informações sobre o Google Cloud Permissões do IAM, consulte Anthos Multi-Cloud Service Agent .
Permissões do AWS IAM para o GKE na AWS
Você pode criar funções que usam funções padrão do AWS IAM ou criar suas próprias políticas personalizadas do AWS IAM que atendam aos requisitos da sua organização.
Usar políticas padrão
Uma política do AWS IAM é um conjunto de permissões. Para conceder permissões para criar e gerenciar clusters, você precisa primeiro criar políticas do AWS IAM para as seguintes funções:
- Função de agente de serviço da API Multi-Cloud do GKE
- A API Multi-Cloud do GKE usa esta função do AWS IAM para gerenciar recursos usando APIs da AWS. Essa função é usada por uma conta de serviço gerenciada pelo Google, conhecida como agente de serviço .
- Função AWS IAM do plano de controle
- O plano de controle do cluster usa essa função para controlar pools de nós.
- Função AWS IAM do pool de nós
- O plano de controle usa essa função para criar VMs de pool de nós.
Para usar as funções sugeridas do AWS IAM para o GKE na AWS para gerenciar clusters, consulte Criar funções do AWS IAM .
Crie políticas de IAM personalizadas
Para restringir ainda mais as permissões, em vez de usar políticas sugeridas, você pode criar políticas personalizadas do AWS IAM que permitam o GKE na AWS. Por exemplo, você pode restringir permissões a recursos com uma determinada tag ou a recursos em uma VPC específica da AWS.
Controlando o acesso com tags
Você pode restringir as políticas do AWS IAM para permitir ações apenas em um conjunto limitado de recursos, usando tags da AWS. Qualquer função com essa tag especificada em seu campo de condição ficará restrita a operar em recursos com a mesma tag. Você pode usar isso para restringir funções administrativas a atuar em recursos em um cluster ou pool de nós específico.
Para restringir uma política do AWS IAM a ser aplicada apenas a recursos com uma tag específica, inclua o valor da tag no campo Condition da política e transmita o valor da tag ao criar o cluster e os pools de nós. O GKE na AWS aplica essa tag ao criar recursos.
Para obter mais informações sobre tags, consulte Marcação de recursos da AWS . Para obter mais informações sobre o uso de tags com uma política da AWS, consulte Controle de acesso a recursos da AWS .
Para obter mais informações sobre como criar recursos de cluster com uma tag específica, consulte a documentação de referência gcloud container aws clusters create e gcloud container aws node-pools create .
Para obter uma lista de permissões específicas que o GKE na AWS precisa para cada política, consulte a Lista de funções do AWS IAM .