Esta documentação é referente à versão atual do GKE na AWS, lançada em novembro de 2021. Consulte as Notas de lançamento para mais informações.

Visão geral da autenticação

Nesta página, descrevemos como o GKE na AWS lida com a autenticação no Google Cloud e a autenticação de usuários nos clusters.

Como o GKE na AWS se conecta à AWS

Para mais informações sobre como o GKE na AWS usa os papéis do IAM da AWS para se conectar à AWS, consulte Papéis do IAM da AWS.

Authentication

Autenticação da API GKE Multi-Cloud

Use a API GKE Multi-Cloud para criar, atualizar e excluir clusters e pools de nós. Assim como em outras APIs do Google Cloud, é possível usar essa API com REST, Google Cloud CLI ou console do Google Cloud.

Para mais informações, consulte Visão geral da autenticação do Google Cloud e a documentação de referência da API GKE Multi-Cloud.

Autenticação da API Kubernetes

Use a ferramenta de linha de comando kubectl para executar operações de cluster, como implantar uma carga de trabalho e configurar um balanceador de carga. A ferramenta kubectl se conecta à API Kubernetes no plano de controle do cluster. Para chamar essa API, é necessário autenticar com as credenciais permitidas.

Para receber credenciais, use um dos seguintes métodos:

Google Identity, que permite aos usuários fazer login usando a identidade do Google Cloud. Use essa opção se seus usuários já tiverem acesso ao Google Cloud com uma identidade do Google.
GKE Identity Service, que permite aos usuários fazer login usando o OpenID Connect (OIDC) ou o IAM da AWS.

O GKE Identity Service permite que você use provedores de identidade, como Okta, Serviços de federação do Active Directory (ADFS, na sigla em inglês) ou qualquer provedor de identidade do OIDC apropriado.

Autorização

O GKE na AWS tem dois métodos de controle de acesso: a API GKE Multi-Cloud e o controle de acesso baseado em papéis (RBAC, na sigla em inglês). Nesta seção, descrevemos as diferenças entre esses métodos.

É melhor adotar uma abordagem em camadas para proteger clusters e cargas de trabalho. É possível aplicar o princípio de privilégio mínimo ao nível de acesso fornecido a usuários e cargas de trabalho. Talvez seja necessário fazer concessões para permitir o nível correto de flexibilidade e segurança.

Controle de acesso da API GKE Multi-Cloud

A API GKE Multi-Cloud permite que os administradores de clusters criem, atualizem e excluam clusters e pools de nós. Gerencie as permissões da API com o gerenciamento de identidade e acesso (IAM). Para usar a API, os usuários precisam ter as permissões apropriadas. Para conhecer as permissões necessárias a cada operação, veja Papéis e permissões da API. O IAM permite definir papéis e atribuí-los aos principais. Um papel é um conjunto de permissões e, quando atribuído a um principal, controla o acesso a um ou mais recursos do Google Cloud.

Quando você cria um cluster ou pool de nós em uma organização, pasta ou projeto, os usuários com as permissões adequadas nessa organização, pasta ou projeto podem modificá-lo. Por exemplo, se você conceder a um usuário uma permissão de exclusão de cluster no nível do projeto do Google Cloud, esse usuário poderá excluir qualquer cluster nesse projeto. Para mais informações, veja Hierarquia de recursos do Google Cloud e Como criar políticas de IAM.

Controle de acesso à API Kubernetes

A API Kubernetes permite gerenciar objetos do Kubernetes. Para gerenciar o controle de acesso na API Kubernetes, use o controle de acesso baseado em papéis (RBAC, na sigla em inglês). Para mais informações, veja Como configurar o controle de acesso baseado em papéis na documentação do GKE.

Acesso de administrador

Quando você usa a CLI gcloud para criar um cluster, por padrão, a API GKE Multi-Cloud adiciona sua conta de usuário como administrador e cria políticas de RBAC apropriadas que concedem acesso administrativo total ao cluster. Para configurar usuários diferentes, transmita a sinalização --admin-users ao criar ou atualizar um cluster. Ao usar a sinalização --admin-users, inclua todos os usuários que podem administrar o cluster. A CLI gcloud não inclui o usuário que cria o cluster.

Também é possível adicionar usuários administradores usando o Console do Google Cloud. Para mais informações, consulte Atualizar o cluster.

Para ver a configuração do acesso ao cluster, execute o seguinte comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Além das políticas do RBAC para acessar o servidor da API Kubernetes, se um usuário administrador não for proprietário de um projeto, você precisará conceder papéis do IAM específicos que permitam que os usuários administradores se autentiquem usando a identidade do Google deles. Para mais informações sobre como se conectar ao cluster, consulte Conectar e autenticar seu cluster.

A seguir

Para configurar o OIDC, consulte Gerenciar a identidade com o GKE Identity Service.
Conectar-se e autenticar-se no cluster.