El producto descrito en esta documentación, Anthos Clusters en AWS (generación anterior), se encuentra actualmente en modo de mantenimiento . Todas las nuevas instalaciones deben usar el producto de la generación actual, Anthos Clusters en AWS .

Esta página se ha traducido con Cloud Translation API.

Authentication

GKE en AWS admite los siguientes métodos de autenticación:

Conectar
Conexión OpenID (OIDC).

Conectar

Para iniciar sesión usando el Google Cloud Con la consola Connect, GKE en AWS puede usar el token portador de una cuenta de servicio de Kubernetes. Para obtener más información, consulte Iniciar sesión en un clúster desde... Google Cloud consola .

El servidor API de Kubernetes y el token de identificación

Tras autenticarse en el clúster, puede interactuar mediante la CLI de kubectl de gcloud. Cuando kubectl llama al servidor de la API de Kubernetes en nombre del usuario, este verifica el token mediante el certificado público del proveedor de OpenID. A continuación, analiza el token para conocer la identidad y los grupos de seguridad del usuario.

El servidor API determina si el usuario está autorizado a realizar esta llamada en particular comparando los grupos de seguridad del usuario con la política de control de acceso basado en roles (RBAC) del clúster.

OIDC

GKE en AWS admite la autenticación OIDC con el Servicio de Identidad de GKE . Este servicio admite numerosos proveedores de identidad. Para obtener más información, consulte Proveedores de identidad compatibles .

Descripción general

Con OIDC, puede administrar el acceso a un clúster con los procedimientos estándar de su organización para crear, habilitar y deshabilitar cuentas de empleados. También puede usar los grupos de seguridad de su organización para configurar el acceso a un clúster de Kubernetes o a servicios específicos del clúster.

A continuación se muestra un flujo de inicio de sesión típico de OIDC:

Un usuario inicia sesión en un proveedor OpenID presentando un nombre de usuario y una contraseña.
El proveedor de OpenID firma y emite un token de identificación para el usuario.
La CLI de gcloud envía una solicitud HTTPS al servidor de la API de Kubernetes. La aplicación incluye el token de ID del usuario en el encabezado de la solicitud.
El servidor de API de Kubernetes verifica el token utilizando el certificado del proveedor.

Iniciar sesión con la CLI de gcloud

Ejecuta el comando gcloud anthos auth login para autenticarse en sus clústeres. La CLI de gcloud autentica su solicitud al servidor de la API de Kubernetes.

Para usar la CLI de gcloud, sus tokens de ID de OIDC deben estar almacenados en el archivo kubeconfig . Los tokens se agregan a su archivo kubeconfig con gcloud anthos create-login-config . GKE en AWS usa la CLI de gcloud para solicitar y obtener el token de ID y otros valores de OIDC en el archivo kubeconfig .

Authentication Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.