El 6 de abril, se lanzó una nueva versión de los clústeres de Anthos en AWS (GKE en AWS). Consulta las notas de la versión para obtener más información.

Authentication

Anthos GKE en AWS (GKE en AWS) es compatible con los siguientes métodos de autenticación:

  • Conexión
  • OpenID Connect (OIDC) Para obtener más información, consulta Autentica con OIDC.

Conexión

Para acceder con Google Cloud Console con Connect, los clústeres de Anthos en AWS pueden usar el token del portador de una cuenta de servicio de Kubernetes. Para obtener más información, consulta Cómo acceder a un clúster desde Cloud Console.

El servidor de la API de Kubernetes y el token de ID

Después de autenticarte con el clúster, puedes interactuar mediante la CLI de kubectl del SDK de Cloud. Cuando kubectl llama al servidor de la API de Kubernetes en nombre del usuario, el servidor de la API verifica el token mediante el certificado público del proveedor de OpenID. Luego, el servidor de la API analiza el token para conocer la identidad y los grupos de seguridad del usuario.

El servidor de la API determina si el usuario está autorizado para realizar esta llamada en particular mediante la comparación de los grupos de seguridad del usuario con la política de control de acceso según la función (RBAC) del clúster.

OIDC

En esta sección, se supone que estás familiarizado con OAuth 2.0 y OpenID Connect. También debes estar familiarizado con los permisos y reclamaciones en el contexto de la autenticación de OpenID.

Descripción general

Con OIDC, puedes administrar el acceso a un clúster de Kubernetes con los procedimientos estándar de tu organización para crear, habilitar e inhabilitar cuentas de empleados. También puedes usar los grupos de seguridad de tu organización para configurar el acceso a un clúster de Kubernetes o a servicios específicos del clúster.

A continuación, se describe un flujo de acceso típico de OIDC:

  • Un usuario puede acceder a un proveedor de OpenID si presenta un nombre de usuario y una contraseña.

  • El proveedor de OpenID firma y emite un token de ID para el usuario.

  • La herramienta de gcloud envía una solicitud HTTPS al servidor de la API de Kubernetes. La aplicación incluye el token de ID del usuario en el encabezado de la solicitud.

  • El servidor de la API de Kubernetes verifica el token mediante el certificado del proveedor.

Si tu empresa ejecuta un servidor de los Servicios de federación de Active Directory (ADFS), este podría funcionar como tu proveedor de OpenID. Otra opción es usar a un tercero como tu proveedor de OpenID. Por ejemplo, Google, Microsoft, Facebook y Twitter son proveedores de OpenID.

Accede con la herramienta gcloud

Debes ejecutar el comando gcloud anthos auth login para autenticarte con tus clústeres. La herramienta de gcloud autentica tu solicitud al servidor de la API de Kubernetes.

Para usar la herramienta de gcloud, tus tokens de ID de OIDC se deben almacenar en el archivo kubeconfig. Debes agregar tokens al archivo kubeconfig con gcloud anthos create-login-config. Los clústeres de Anthos en AWS usan la herramienta de gcloud para solicitar y obtener el token de ID y otros valores de OIDC en el archivo kubeconfig.