O produto descrito nesta documentação, Anthos Clusters na AWS (geração anterior), está em modo de manutenção . Todas as novas instalações devem usar o produto da geração atual, Anthos Clusters na AWS .

Esta página foi traduzida pela API Cloud Translation.

Authentication

O GKE na AWS oferece suporte aos seguintes métodos de autenticação:

Conectar
OpenID Connect (OIDC).

Conectar

Para efetuar login usando o Google Cloud O console com o Connect, o GKE na AWS, pode usar o token portador de uma conta de serviço do Kubernetes. Para obter mais informações, consulte Como fazer login em um cluster a partir do Google Cloud console .

O servidor da API do Kubernetes e o token de ID

Após a autenticação no cluster, você pode interagir usando a CLI kubectl da CLI gcloud. Quando kubectl chama o servidor da API do Kubernetes em nome do usuário, o servidor da API verifica o token usando o certificado público do provedor OpenID. Em seguida, o servidor da API analisa o token para descobrir a identidade e os grupos de segurança do usuário.

O servidor de API determina se o usuário está autorizado a fazer essa chamada específica comparando os grupos de segurança do usuário com a política de Controle de Acesso baseado em função (RBAC) do cluster.

OIDC

O GKE na AWS oferece suporte à autenticação OIDC com o Serviço de Identidade do GKE . O Serviço de Identidade do GKE oferece suporte a diversos provedores de identidade. Para mais informações, consulte Provedores de identidade compatíveis .

Visão geral

Com o OIDC, você pode gerenciar o acesso a um cluster seguindo os procedimentos padrão da sua organização para criar, habilitar e desabilitar contas de funcionários. Você também pode usar os grupos de segurança da sua organização para configurar o acesso a um cluster do Kubernetes ou a serviços específicos no cluster.

Um fluxo típico de login do OIDC é o seguinte:

Um usuário faz login em um provedor OpenID apresentando um nome de usuário e uma senha.
O provedor OpenID assina e emite um token de ID para o usuário.
A CLI do gcloud envia uma solicitação HTTPS ao servidor da API do Kubernetes. O aplicativo inclui o token de ID do usuário no cabeçalho da solicitação.
O servidor da API do Kubernetes verifica o token usando o certificado do provedor.

Efetuando login com o gcloud CLI

Execute o comando gcloud anthos auth login para autenticar com seus clusters. A CLI do gcloud autentica sua solicitação no servidor da API do Kubernetes.

Para usar a CLI do gcloud, seus tokens de ID OIDC devem ser armazenados no arquivo kubeconfig . Adicione tokens ao seu arquivo kubeconfig com gcloud anthos create-login-config . O GKE na AWS usa a CLI do gcloud para solicitar e obter o token de ID e outros valores OIDC no arquivo kubeconfig .

Authentication Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.