Halaman ini menjelaskan cara Google Cloud mengelola izin dan peran AWS Identity and Access Management (IAM) untuk GKE Anda di AWS.
GKE di AWS menggunakan AWS API untuk membuat resource seperti instance EC2, grup penskalaan otomatis, dan load balancer untuk GKE pada komponen AWS dan workload Anda. Anda harus memberi Google Cloud izin AWS IAM untuk membuat resource ini.
Cara GKE di AWS mengakses AWS API
GKE di AWS menggunakan federasi identitas di AWS untuk mengelola akses terperinci ke akun AWS Anda. Saat GKE di AWS perlu mengambil tindakan untuk cluster Anda, GKE akan meminta token berumur pendek dari AWS. Peran GKE Multi-Cloud API menggunakan token ini untuk melakukan autentikasi ke AWS.
Agen layanan
Untuk memberi Google Cloud akses agar dapat membuat, memperbarui, menghapus, dan mengelola cluster di akun AWS Anda, GKE di AWS membuat agen layanan di project Google Cloud Anda. Agen layanan menggunakan
peran IAM AWS Multi-Cloud API GKE. Anda harus membuat peran AWS IAM untuk agen layanan di setiap project Google Cloud tempat Anda mengelola cluster GKE.
Agen layanan menggunakan alamat email
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com
.
Untuk mengetahui informasi lebih lanjut tentang izin IAM Google Cloud,
lihat
Agen Layanan Anthos Multi-Cloud.
Izin IAM AWS untuk GKE di AWS
Anda dapat membuat peran yang menggunakan peran AWS IAM default, atau membuat kebijakan IAM AWS khusus sendiri yang memenuhi persyaratan organisasi.
Gunakan kebijakan default
Kebijakan IAM AWS adalah kumpulan izin. Guna memberikan izin untuk membuat dan mengelola cluster, Anda harus membuat kebijakan IAM AWS terlebih dahulu untuk peran berikut:
- Peran agen layanan GKE Multi-Cloud API
- GKE Multi-Cloud API menggunakan peran IAM AWS ini untuk mengelola resource menggunakan AWS API. Peran ini digunakan oleh agen layanan.
- Peran IAM AWS bidang kontrol
- Bidang kontrol cluster Anda menggunakan peran ini untuk mengontrol kumpulan node.
- Peran IAM AWS kumpulan node
- Bidang kontrol menggunakan peran ini untuk membuat VM kumpulan node.
Untuk menggunakan peran AWS IAM yang disarankan bagi GKE di AWS guna mengelola cluster, lihat Membuat peran AWS IAM.
Membuat kebijakan IAM kustom
Untuk membatasi izin lebih lanjut, daripada menggunakan kebijakan yang disarankan, Anda dapat membuat kebijakan IAM AWS kustom yang mengizinkan GKE di AWS. Misalnya, Anda dapat membatasi izin ke izin resource dengan tag tertentu atau resource di AWS VPC tertentu
Mengontrol akses dengan tag
Anda dapat membatasi kebijakan IAM AWS untuk mengizinkan tindakan hanya pada sekumpulan resource terbatas, menggunakan tag AWS. Setiap peran dengan tag yang ditentukan di kolom kondisinya akan dibatasi untuk beroperasi di resource dengan tag yang sama. Anda dapat menggunakannya untuk membatasi peran administratif dalam menindaklanjuti resource di cluster atau kumpulan node tertentu.
Untuk membatasi kebijakan IAM AWS agar hanya diterapkan ke resource dengan tag tertentu, sertakan nilai tag di kolom Condition
kebijakan, lalu teruskan nilai tag saat Anda membuat cluster dan node pool. GKE di AWS menerapkan tag ini saat membuat resource.
Untuk mengetahui informasi lebih lanjut tentang tag, lihat Memberi tag pada resource AWS. Untuk mengetahui informasi selengkapnya tentang penggunaan tag dengan kebijakan AWS, lihat Mengontrol akses ke resource AWS.
Untuk mengetahui informasi selengkapnya tentang cara membuat resource cluster dengan tag tertentu, lihat
dokumentasi referensi
gcloud container aws clusters create
dan
gcloud container aws node-pools create
.
Untuk mengetahui daftar izin khusus yang diperlukan GKE di AWS untuk setiap kebijakan, lihat daftar peran IAM AWS.