O produto descrito nesta documentação, os clusters do Anthos na AWS (geração anterior), agora está no modo de manutenção. Todas as novas instalações precisam usar o produto de geração atual Clusters do Anthos na AWS.

Authentication

Os clusters do Anthos na AWS (GKE na AWS) são compatíveis com os seguintes métodos de autenticação:

Conectar
OpenID Connect (OIDC)

Connect

Para fazer login usando o Console do Google Cloud com o Connect, os clusters do Anthos na AWS podem usar o token do portador da conta de serviço do Kubernetes. Para mais informações, consulte Como fazer login em um cluster do Console do Google Cloud.

O servidor da API Kubernetes e o token de ID

Após a autenticação com o cluster, é possível interagir usando a kubectl CLI da CLI gcloud. Quando kubectl chama o servidor da API Kubernetes em nome do usuário, o servidor da API verifica o token usando o certificado público do provedor OpenID. Em seguida, o servidor da API analisa o token para saber a identidade do usuário e os grupos de segurança dele.

O servidor da API determina se o usuário está autorizado a fazer essa chamada, comparando os grupos de segurança do usuário com a política de controle de acesso baseado em papéis (RBAC, na sigla em inglês) do cluster.

OIDC

Os clusters do Anthos na AWS são compatíveis com a autenticação OIDC com o Anthos Identity Service. O Anthos Identity Service é compatível com muitos provedores de identidade. Para mais informações, consulte Provedores de identidade compatíveis.

Visão geral

Com o OIDC, você gerencia o acesso a um cluster do Kubernetes com os procedimentos padrão na sua organização para criar, ativar e desativar contas de funcionários. Também é possível usar os grupos de segurança da sua organização para configurar o acesso a um cluster do Kubernetes ou a serviços específicos no cluster.

Veja a seguir um fluxo de login OIDC típico:

Um usuário faz login em um provedor OpenID apresentando um nome de usuário e uma senha.
O provedor de OpenID assina e emite um token de ID para o usuário.
A CLI gcloud envia uma solicitação HTTPS para o servidor da API Kubernetes. O aplicativo inclui o token de ID do usuário no cabeçalho da solicitação.
O servidor da API Kubernetes verifica o token usando o certificado do provedor.

Como fazer login com a CLI gcloud

Execute o comando gcloud anthos auth login para autenticar com seus clusters. A CLI gcloud autentica a solicitação para o servidor da API Kubernetes.

Para usar a CLI gcloud, os tokens de ID do OIDC precisam ser armazenados no arquivo kubeconfig. Adicione tokens ao arquivo kubeconfig com gcloud anthos create-login-config. Os clusters do Anthos na AWS usam a CLI gcloud para solicitar e receber o token de ID e outros valores OIDC no arquivo kubeconfig.