Diese Dokumentation bezieht sich auf die neueste Version von Anthos-Clustern in AWS, die am 3. November veröffentlicht wurde. Weitere Informationen finden Sie in den Versionshinweisen. Dokumentationen zur vorherigen Generation der Anthos-Cluster in AWS finden Sie unter Vorherige Generation.

Authentifizierung

Auf dieser Seite wird beschrieben, wie Anthos-Cluster in AWS die Authentifizierung bei Google Cloud und die Nutzerauthentifizierung für Ihre Cluster durchführen.

Verbindung von Anthos zu AWS

Weitere Informationen dazu, wie Anthos AWS IAM-Rollen für die Verbindung mit AWS verwendet, finden Sie unter AWS IAM-Rollen.

Authentifizierung

Anthos Multi-Cloud API-Authentifizierung

Sie verwenden die Anthos Multi-Cloud API, um Cluster und Knotenpools zu erstellen, zu aktualisieren und zu löschen. Wie bei anderen Google Cloud APIs können Sie diese API mit REST, Google Cloud CLI oder der Google Cloud Console verwenden.

Weitere Informationen finden Sie in der Übersicht zur Google Cloud-Authentifizierung und in der Referenzdokumentation zu Anthos Multi-Cloud API.

Kubernetes API-Authentifizierung

Mit dem kubectl-Befehlszeilentool können Sie Clustervorgänge wie das Bereitstellen einer Arbeitslast und das Konfigurieren eines Load-Balancers ausführen. Das kubectl-Tool stellt eine Verbindung zur Kubernetes API auf der Steuerungsebene Ihres Clusters her. Sie müssen sich mit autorisierten Anmeldedaten authentifizieren, um diese API aufzurufen.

Zum Abrufen von Anmeldedaten können Sie eine der folgenden Methoden verwenden:

  • Google Identity: Nutzer können sich mit ihrer Google Cloud Identity anmelden. Verwenden Sie diese Option, wenn Ihre Nutzer bereits Zugriff auf Google Cloud mit einer Google-Identität haben.

  • Anthos Identity Service: Nutzer können sich mit OpenID Connect (OIDC) oder AWS IAM anmelden.

Mit Anthos Identity Service können Sie Identitätsanbieter wie Okta, Active Directory Federation Services (ADFS) oder einen beliebigen OIDC-konformen Identitätsanbieter verwenden.

Autorisierung

Anthos-Cluster haben zwei Methoden zur Zugriffssteuerung: die Anthos Multi-Cloud API und die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). In diesem Abschnitt werden die Unterschiede zwischen diesen Methoden beschrieben.

Schützen Sie Ihre Cluster und Arbeitslasten nach Möglichkeit mit einem mehrschichtigen Ansatz. Sie können den Grundsatz der geringsten Berechtigung auf die Zugriffsebene anwenden, die Sie für Ihre Nutzer und Arbeitslasten bereitstellen. Möglicherweise müssen Sie Kompromisse eingehen, um das richtige Maß an Flexibilität und Sicherheit zu erreichen.

Zugriffssteuerung über die Anthos Multi-Cloud API

Mit der Anthos Multi-Cloud API können Clusteradministratoren Cluster und Knotenpools erstellen, aktualisieren und löschen. Berechtigungen für die API verwalten Sie mit Identity and Access Management (IAM). Um die API verwenden zu können, müssen Nutzer die entsprechenden Berechtigungen haben. Informationen zu den für den jeweiligen Vorgang erforderlichen Berechtigungen finden Sie unter API-Rollen und -Berechtigungen. Mit IAM können Sie Rollen definieren und diese Hauptkonten zuweisen. Eine Rolle ist eine Sammlung von Berechtigungen. Sie steuert den Zugriff des jeweiligen Hauptkontos auf eine oder mehrere Google Cloud-Ressourcen.

Wenn Sie einen Cluster oder Knotenpool in einer Organisation, einem Ordner oder einem Projekt erstellen, kann dieser von Nutzern mit den entsprechenden Berechtigungen in dieser Organisation, in diesem Ordner oder in diesem Projekt geändert werden. Wenn Sie einem Nutzer beispielsweise eine Berechtigung zum Löschen von Clustern auf Google Cloud-Projektebene erteilen, kann er alle Cluster in diesem Projekt löschen. Weitere Informationen finden Sie unter Google Cloud-Ressourcenhierarchie und IAM-Richtlinien erstellen.

Kubernetes API-Zugriffssteuerung

Mit der Kubernetes API können Sie Kubernetes-Objekte verwalten. Zur Verwaltung der Zugriffssteuerung in der Kubernetes API verwenden Sie die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Weitere Informationen finden Sie in der GKE-Dokumentation unter Rollenbasierte Zugriffssteuerung konfigurieren.

Administratorzugriff

Wenn Sie zum Erstellen eines Clusters die gcloud CLI verwenden, fügt die Anthos Multi-Cloud API Ihr Nutzerkonto standardmäßig als Administrator hinzu und erstellt entsprechende RBAC-Richtlinien, die Ihnen vollständigen Administratorzugriff auf den Cluster gewähren. Übergeben Sie beim Erstellen oder Aktualisieren eines Clusters das Flag --admin-users, um verschiedene Nutzer zu konfigurieren. Wenn Sie das Flag --admin-users verwenden, müssen Sie alle Nutzer einschließen, die den Cluster verwalten können. Die gcloud CLI enthält nicht den Nutzer, der den Cluster erstellt.

Administratoren lassen sich auch über die Google Cloud Console hinzufügen. Weitere Informationen finden Sie unter Cluster aktualisieren.

Führen Sie den folgenden Befehl aus, um die Konfiguration für den Zugriff auf Ihren Cluster anzeigen zu lassen:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Zusätzlich zu den RBAC-Richtlinien für den Zugriff auf den Kubernetes API-Server müssen Sie, wenn ein Administrator kein Projektinhaber ist, bestimmte IAM-Rollen zuweisen, damit sich die Administratornutzer mit ihrer Google-Identität authentifizieren können. Weitere Informationen zum Herstellen einer Verbindung zum Cluster finden Sie unter Cluster verbinden und authentifizieren.

Nächste Schritte