Das in dieser Dokumentation beschriebene Produkt Anthos-Cluster in AWS (vorherige Generation) befindet sich jetzt im Wartungsmodus. Alle neuen Installationen müssen Anthos-Cluster in AWS der aktuellen Generation verwenden.

Diese Seite wurde von der Cloud Translation API übersetzt.

Authentication

GKE in AWS unterstützt die folgenden Authentifizierungsmethoden:

Verbinden
OpenID Connect (OIDC).

Verbinden

Damit Sie sich über die Google Cloud Console mit Connect anmelden können, kann GKE in AWS das Inhabertoken eines Kubernetes-Dienstkontos verwenden. Weitere Informationen finden Sie unter Über die Console bei einem Cluster anmelden Google Cloud .

Kubernetes API-Server und ID-Token

Nach der Authentifizierung beim Cluster können Sie über die kubectl CLI der gcloud CLI interagieren. Wenn kubectl den Kubernetes API-Server im Namen des Nutzers aufruft, überprüft der API-Server das Token mithilfe des öffentlichen Zertifikats des OpenID-Anbieters. Anschließend parst der API-Server das Token, um die Identität und die Sicherheitsgruppen des Nutzers zu ermitteln.

Der API-Server ermittelt, ob der Nutzer berechtigt ist, diesen bestimmten Aufruf auszuführen. Dazu gleicht er die Sicherheitsgruppen des Nutzers mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) des Clusters ab.

OIDC

GKE on AWS unterstützt die OIDC-Authentifizierung mit dem GKE Identity Service. GKE Identity Service unterstützt viele Identitätsanbieter. Weitere Informationen finden Sie unter Unterstützte Identitätsanbieter.

Überblick

Mit OIDC können Sie den Zugriff auf Cluster verwalten und die Standardverfahren in Ihrer Organisation zum Erstellen, Aktivieren und Deaktivieren von Mitarbeiterkonten verwenden. Sie können auch die Sicherheitsgruppen Ihrer Organisation verwenden, um den Zugriff auf einen Kubernetes-Cluster oder auf bestimmte Dienste im Cluster zu konfigurieren.

Dies ist ein typischer OIDC-Anmeldevorgang:

Ein Nutzer meldet sich bei einem OpenID-Anbieter an, indem er einen Nutzernamen und ein Passwort angibt.
Der OpenID-Anbieter signiert und stellt ein ID-Token für den Nutzer aus.
Die gcloud CLI sendet eine HTTPS-Anfrage an den Kubernetes API-Server. Die Anfrage enthält das ID-Token des Nutzers im Anfrageheader.
Der Kubernetes API-Server überprüft das Token mithilfe des Zertifikats des Anbieters.

Mit dem gcloud CLI anmelden

Führen Sie den Befehl gcloud anthos auth login aus, um sich bei Ihren Clustern zu authentifizieren. Die gcloud CLI authentifiziert Ihre Anfrage beim Kubernetes API-Server.

Zur Verwendung der gcloud CLI müssen Ihre OIDC-ID-Tokens in der kubeconfig-Datei gespeichert sein. Fügen Sie Ihrer Datei kubeconfig mit gcloud anthos create-login-config Tokens hinzu. GKE on AWS verwendet die gcloud CLI, um das ID-Token und andere OIDC-Werte in der Datei kubeconfig anzufordern und abzurufen.

Authentication Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.