Esta documentación es para la versión más reciente de los clústeres de Anthos en AWS, que se lanzó el 3 de noviembre. Consulta las notas de la versión para obtener más información. Para obtener documentación sobre la generación anterior de clústeres de Anthos en AWS, consulta Generación anterior.

Descripción general de la autenticación

En esta página, se describe cómo los clústeres de Anthos alojados en AWS controlan la autenticación de Google Cloud y de los usuarios en tus clústeres.

Cómo Anthos se conecta a AWS

Si deseas obtener más información sobre cómo Anthos usa las funciones de IAM de AWS para conectarse a AWS, consulta Funciones de IAM de AWS.

Authentication

Autenticación de la API de múltiples nubes de Anthos

Usa la API de múltiples nubes de Anthos para crear, actualizar y borrar clústeres y grupos de nodos. Al igual que con otras API de Google Cloud, puedes usar esta API con REST, Google Cloud CLI o la consola de Google Cloud.

Para obtener más información, consulta la Descripción general de la autenticación de Google Cloud y la documentación de referencia de la API de múltiples nubes de Anthos.

Autenticación de la API de Kubernetes

Puedes usar la herramienta de línea de comandos de kubectl para realizar operaciones de clúster, como implementar una carga de trabajo y configurar un balanceador de cargas. La herramienta de kubectl se conecta a la API de Kubernetes en el plano de control del clúster. Para llamar a esta API, debes autenticarte con las credenciales permitidas.

Para obtener credenciales, puedes usar uno de los siguientes métodos:

  • Google Identity, que permite a los usuarios acceder con su identidad de Google Cloud. Usa esta opción si tus usuarios ya tienen acceso a Google Cloud con Google Identity.

  • Anthos Identity Service, que permite a los usuarios acceder mediante OpenID Connect (OIDC) o AWS IAM

Anthos Identity Service te permite usar proveedores de identidad, como Okta, Servicios de federación de Active Directory (ADFS) o cualquier proveedor de identidad compatible con OIDC.

Autorización

Los clústeres de Anthos tienen dos métodos para el control de acceso, la API de múltiples nubes de Anthos y el control de acceso según la función (RBAC). En esta sección, se describen las diferencias entre estos métodos.

Es mejor adoptar un enfoque por capas para proteger los clústeres y las cargas de trabajo. Puedes aplicar el principio de privilegio mínimo al nivel de acceso que proporcionas a los usuarios y las cargas de trabajo. Es posible que debas realizar compensaciones para permitir el nivel adecuado de flexibilidad y seguridad.

Control de acceso a la API de múltiples nubes de Anthos

La API de múltiples nubes de Anthos permite a los administradores de clústeres crear, actualizar y borrar clústeres y grupos de nodos. Puedes administrar los permisos para la API con Identity and Access Management (IAM). Para usar la API, los usuarios deben tener los permisos correspondientes. Si deseas conocer los permisos necesarios para cada operación, consulta Funciones y permisos de la API. IAM te permite definir funciones y asignarlas a las principales. Una función es una colección de permisos, y cuando se le asigna a una principal, controla el acceso a uno o más recursos de Google Cloud.

Cuando creas un clúster o grupo de nodos en una organización, una carpeta o un proyecto, los usuarios con los permisos adecuados en tal organización, carpeta o proyecto pueden modificarlo. Por ejemplo, si otorgas a un usuario un permiso de eliminación de clústeres a nivel de proyecto de Google Cloud, ese usuario puede borrar cualquier clúster de ese proyecto. Para obtener más información, consulta Jerarquía de recursos de Google Cloud y Crea políticas de IAM.

Control de acceso en la API de Kubernetes

La API de Kubernetes te permite administrar objetos de Kubernetes. Para administrar el control de acceso en la API de Kubernetes, usa el control de acceso basado en funciones (RBAC). Para obtener más información, consulta Configura el control de acceso basado en funciones en la documentación de GKE.

Acceso de administrador

Cuando usas la CLI de gcloud para crear un clúster, la API de múltiples nubes de Anthos agrega de forma predeterminada tu cuenta de usuario como administrador y crea políticas de RBAC adecuadas que te otorgan acceso de administrador completo al clúster. Para configurar diferentes usuarios, pasa la marca --admin-users cuando crees o actualices un clúster. Cuando usas la marca --admin-users, debes incluir a todos los usuarios que pueden administrar el clúster. La CLI de gcloud no incluye el usuario que crea el clúster.

También puedes agregar usuarios administradores con Google Cloud Console. Para obtener más información, consulta Actualiza el clúster.

Para ver la configuración del acceso de tu clúster, ejecuta el siguiente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Además de las políticas de RBAC para acceder al servidor de la API de Kubernetes, si un usuario administrador no es propietario del proyecto, debes otorgar funciones de IAM específicas que permitan a los usuarios administradores realizar la autenticación con su identidad de Google. Para obtener más información sobre cómo conectarte al clúster, consulta Conéctate y autentícate en tu clúster.

¿Qué sigue?