Acerca das funções de IAM da AWS

Esta página descreve como o GKE on AWS Google Cloud faz a gestão das autorizações e das funções da AWS Identity and Access Management (IAM) para o seu GKE on AWS.

O GKE on AWS usa a API AWS para criar recursos, como instâncias do EC2, grupos de dimensionamento automático e balanceadores de carga para componentes do GKE on AWS e as suas cargas de trabalho. Tem de fornecer Google Cloud autorizações do IAM da AWS para criar estes recursos.

Como o GKE no AWS acede à API AWS

O GKE on AWS usa a federação de identidades na AWS para gerir o acesso detalhado à sua conta da AWS. Quando o GKE on AWS precisa de tomar uma medida para o seu cluster, pede um token de curta duração à AWS. A função da API GKE Multi-cloud usa este token para fazer a autenticação na AWS.

Agentes do serviço

Para conceder Google Cloud acesso para criar, atualizar, eliminar e gerir clusters na sua conta da AWS, o GKE on AWS cria umagente de serviço no seu Google Cloud projeto. O agente de serviço é uma conta de serviço gerida pela Google que usa a função do AWS IAM da API GKE Multi-Cloud. Tem de criar uma função de IAM do AWS para o agente de serviço em cada Google Cloud projeto a partir do qual gere clusters do GKE. O agente de serviço usa o endereço de email service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com. Para mais informações sobre as Google Cloud autorizações de IAM, consulte Agente de serviço multinuvem do Anthos.

Autorizações de IAM do AWS para o GKE no AWS

Pode criar funções que usam funções de IAM do AWS predefinidas ou criar as suas próprias políticas de IAM do AWS personalizadas que cumprem os requisitos da sua organização.

Use políticas predefinidas

Uma política de IAM (gestão de identidade e de acesso) da AWS é um conjunto de autorizações. Para conceder autorizações para criar e gerir clusters, primeiro tem de criar políticas do IAM do AWS para as seguintes funções:

Função de agente do serviço da API GKE Multi-Cloud
A API GKE Multi-Cloud usa esta função de IAM do AWS para gerir recursos através das APIs AWS. Esta função é usada por uma conta de serviço gerida pela Google conhecida como um agente de serviço.
Função do AWS IAM do plano de controlo
O plano de controlo do cluster usa esta função para controlar os conjuntos de nós.
Função de IAM do AWS do node pool
O plano de controlo usa esta função para criar VMs do node pool.

Para usar funções de IAM do AWS sugeridas para o GKE no AWS para gerir clusters, consulte o artigo Crie funções de IAM do AWS.

Crie políticas IAM personalizadas

Para restringir ainda mais as autorizações, em vez de usar as políticas sugeridas, pode criar políticas de IAM do AWS personalizadas que permitam o GKE no AWS. Por exemplo, pode restringir autorizações a recursos com uma determinada etiqueta ou recursos numa VPC da AWS específica

Controlar o acesso com etiquetas

Pode restringir as políticas do AWS IAM para permitir ações apenas num conjunto limitado de recursos, através de etiquetas da AWS. Qualquer função com essa etiqueta especificada no respetivo campo de condição fica restrita à operação em recursos com a mesma etiqueta. Pode usar esta opção para restringir as funções administrativas a ações em recursos num cluster ou num conjunto de nós específico.

Para restringir uma política do AWS IAM de modo que se aplique apenas a recursos com uma etiqueta específica, inclua o valor da etiqueta no campo Condition da política e, em seguida, transmita o valor da etiqueta quando criar o cluster e os conjuntos de nós. O GKE on AWS aplica esta etiqueta quando cria recursos.

Para mais informações sobre etiquetas, consulte o artigo Etiquetagem de recursos da AWS. Para mais informações sobre a utilização de etiquetas com uma política da AWS, consulte o artigo Controlar o acesso aos recursos da AWS.

Para mais informações sobre a criação de recursos de cluster com uma etiqueta específica, consulte a documentação de referência gcloud container aws clusters create e gcloud container aws node-pools create.

Para ver uma lista de autorizações específicas de que o GKE no AWS precisa para cada política, consulte a lista de funções de IAM do AWS.