Le produit décrit dans cette documentation, Anthos Clusters on AWS (génération précédente), est désormais en mode de maintenance. Toutes les nouvelles installations doivent utiliser le produit de génération actuelle, Anthos Clusters on AWS.

Authentification

Clusters Anthos sur AWS (GKE sur AWS) est compatible avec les méthodes d'authentification suivantes :

Associer
OpenID Connect (OIDC)

Communiquer

Pour vous connecter à l'aide de la console Google Cloud avec Connect, les clusters Anthos sur AWS peuvent utiliser le jeton de support d'un compte de service Kubernetes. Pour plus d'informations, consultez la section Se connecter à un cluster depuis Google Cloud Console.

Serveur d'API Kubernetes et jeton d'ID

Une fois authentifié auprès du cluster, vous pouvez interagir à l'aide de la CLI kubectl de CLI. Lorsque kubectl appelle le serveur d'API Kubernetes pour le compte de l'utilisateur, le serveur d'API vérifie le jeton à l'aide du certificat public du fournisseur OpenID. Le serveur d'API analyse ensuite le jeton pour connaître l'identité et les groupes de sécurité de l'utilisateur.

Le serveur d'API détermine si l'utilisateur est autorisé à effectuer cet appel en comparant les groupes de sécurité de l'utilisateur à la règle de contrôle des accès basé sur les rôles (RBAC, role-based access control) du cluster.

OIDC

Clusters Anthos sur AWS permet l'authentification OIDC avec Anthos Identity Service. Anthos Identity Service est compatible avec de nombreux fournisseurs d'identité. Pour en savoir plus, consultez la section Fournisseurs d'identité acceptés.

Présentation

OIDC vous permet de gérer l'accès à un cluster en utilisant les procédures standards de votre organisation pour créer, activer et désactiver des comptes d'employés. Vous pouvez également utiliser les groupes de sécurité de votre organisation pour configurer l'accès à un cluster Kubernetes ou à des services spécifiques du cluster.

Voici un flux de connexion classique OIDC :

Un utilisateur se connecte à un fournisseur OpenID en présentant un nom d'utilisateur et un mot de passe.
Le fournisseur OpenID signe et envoie un jeton d'identification pour l'utilisateur.
La CLI gcloud envoie une requête HTTPS au serveur d'API Kubernetes. L'application inclut le jeton d'ID de l'utilisateur dans l'en-tête de la requête.
Le serveur d'API Kubernetes vérifie le jeton à l'aide du certificat du fournisseur.

Se connecter avec la CLI gcloud

Exécutez la commande gcloud anthos auth login pour vous authentifier auprès de vos clusters. La CLI gcloud authentifie votre requête auprès du serveur d'API Kubernetes.

Pour utiliser la CLI gcloud, vos jetons d'identification OIDC doivent être stockés dans le fichier kubeconfig. Ajoutez des jetons à votre fichier kubeconfig avec gcloud anthos create-login-config. Les clusters Anthos sur AWS utilisent la CLI gcloud pour demander et obtenir le jeton d'ID et d'autres valeurs OIDC dans le fichier kubeconfig.