Il prodotto descritto in questa documentazione, Anthos Clusters on AWS (generazione precedente), è ora in modalità di manutenzione. Tutte le nuove installazioni devono utilizzare l'attuale prodotto di generazione, Cluster Anthos on AWS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Authentication

GKE su AWS supporta i seguenti metodi di autenticazione:

Connetti
OpenID Connect (OIDC).

Connetti

Per accedere utilizzando la Google Cloud console con Connect, GKE su AWS può utilizzare il token di accesso di un account di servizio Kubernetes. Per maggiori informazioni, consulta Accedere a un cluster dalla Google Cloud console.

Il server API Kubernetes e il token ID

Dopo l'autenticazione con il cluster, puoi interagire utilizzando l'interfaccia a riga di comando kubectl di gcloud CLI. Quando kubectl chiama il server API Kubernetes per conto dell'utente, il server API verifica il token utilizzando il certificato pubblico del provider OpenID. Il server API analizza il token per conoscere l'identità e i gruppi di sicurezza dell'utente.

Il server API determina se l'utente è autorizzato a effettuare questa determinata chiamata confrontando i gruppi di sicurezza dell'utente con il criterio di controllo dell'accesso basato sui ruoli (RBAC) del cluster.

OIDC

GKE su AWS supporta l'autenticazione OIDC con GKE Identity Service. GKE Identity Service supporta molti provider di identità. Per ulteriori informazioni, consulta Provider di identità supportati.

Panoramica

Con OIDC, puoi gestire l'accesso a un cluster con le procedure standard della tua organizzazione per creare, attivare e disattivare gli account dei dipendenti. Puoi anche utilizzare i gruppi di sicurezza della tua organizzazione per configurare l'accesso a un cluster Kubernetes o a servizi specifici al suo interno.

Di seguito è riportato un flusso di accesso OIDC tipico:

Un utente accede a un fornitore OpenID presentando un nome utente e una password.
Il provider OpenID firma e emette un token ID per l'utente.
La gcloud CLI invia una richiesta HTTPS al server API Kubernetes. L'applicazione include il token ID dell'utente nell'intestazione della richiesta.
Il server API Kubernetes verifica il token utilizzando il certificato del provider.

Accedere con gcloud CLI

Esegui il comando gcloud anthos auth login per autenticarti con i tuoi cluster. La gcloud CLI autentica la tua richiesta al server dell'API Kubernetes.

Per utilizzare gcloud CLI, i token ID OIDC devono essere archiviati nel file kubeconfig. Aggiungi i token al file kubeconfig con gcloud anthos create-login-config. GKE su AWS utilizza l'interfaccia alla gcloud CLI per richiedere e ottenere il token ID e altri valori OIDC nel file kubeconfig.

Authentication Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.