Gerencie a identidade com o GKE Identity Service

O GKE na AWS oferece suporte ao OpenID Connect (OIDC) e ao AWS IAM como mecanismo de autenticação para interagir com o servidor da API do Kubernetes de um cluster, usando o GKE Identity Service. O GKE Identity Service é um serviço de autenticação que permite levar suas soluções de identidade existentes para autenticação a vários ambientes. Os usuários podem fazer login e usar seus clusters do GKE a partir da linha de comando ou doGoogle Cloud console, tudo usando seu provedor de identidade existente.

Para uma visão geral de como o GKE Identity Service funciona, consulte Introdução ao GKE Identity Service .

Se você já usa ou deseja usar identidades do Google para fazer login nos seus clusters do GKE, recomendamos usar o comando gcloud containers aws clusters get-credentials para autenticação. Saiba mais em Conectar e autenticar no seu cluster .

Autenticação OpenID Connect

Antes de começar

  1. Para usar a autenticação OIDC, os usuários precisam conseguir se conectar ao plano de controle do cluster. Consulte Conectar-se ao plano de controle do seu cluster .

  2. Para autenticar através do Google Cloud No console, você deve registrar cada cluster que deseja configurar na frota do seu projeto. Para o GKE na AWS, isso é automático após a criação de um pool de nós.

  3. Para permitir que os usuários se autentiquem por meio do Google Cloud No console, certifique-se de que todos os clusters que você deseja configurar estejam registrados na frota do seu projeto . Para o GKE na AWS, isso é automático após a criação de um pool de nós.

Processo de configuração e opções

  1. Registre o GKE Identity Service como um cliente com seu provedor OIDC seguindo as instruções em Configurando provedores para o GKE Identity Service .

  2. Escolha entre as seguintes opções de configuração de cluster:

  3. Configure o acesso do usuário aos seus clusters, incluindo o controle de acesso baseado em função (RBAC), seguindo as instruções em Configurando o acesso do usuário para o GKE Identity Service .

Acessando clusters

Depois que o GKE Identity Service for configurado em um cluster, os usuários poderão efetuar login nos clusters usando a linha de comando ou o Google Cloud console.

Autenticação AWS IAM

O suporte do AWS IAM no GKE na AWS usa o GKE Identity Service .

Antes de começar

Para usar a autenticação do AWS IAM, os usuários precisam conseguir se conectar ao plano de controle do cluster. Consulte Conectar-se ao plano de controle do seu cluster .

Processo de configuração e opções

Para configurar seu cluster para permitir a autenticação do AWS IAM para uma região específica da AWS, faça o seguinte:

  1. Edite o recurso ClientConfig no seu cluster:

    kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public

    Substitua KUBECONFIG_PATH pelo caminho para o arquivo kubeconfig do seu cluster — por exemplo, $HOME/.kube/config .

    Seu editor de texto carrega o recurso ClientConfig do seu cluster. Adicione o objeto spec.authentication.aws conforme mostrado abaixo. Não modifique nenhum dado padrão que já tenha sido gravado.

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    aws:
      region: AWS_REGION

    Substitua o seguinte:

    • NAME : um nome arbitrário deste método de autenticação. por exemplo, "aws-iam".
    • AWS_REGION : a região da AWS onde as informações do usuário são recuperadas. Ela precisa corresponder à região configurada na CLI da AWS dos seus usuários.

  2. Para permitir que os usuários do cluster utilizem o AWS IAM, siga Configurando o acesso do usuário ao GKE Identity Service .

Acessando clusters

Depois que o GKE Identity Service for configurado em um cluster, os usuários poderão efetuar login nos clusters usando a linha de comando ou o Google Cloud console.

Para saber como fazer login em clusters registrados com sua identidade do AWS IAM, consulte Acessando clusters usando o GKE Identity Service .