Questa pagina descrive come Google Cloud gestisce le autorizzazioni e i ruoli di AWS Identity and Access Management (IAM) per GKE su AWS.
GKE su AWS utilizza l'API AWS per creare risorse come istanze EC2, gruppi a scalabilità automatica e bilanciatori del carico sia per GKE sui componenti AWS sia per i carichi di lavoro. Per creare queste risorse, devi fornire a Google Cloud le autorizzazioni AWS IAM.
Come GKE su AWS accede all'API AWS
GKE su AWS utilizza la federazione delle identità in AWS per gestire l'accesso granulare all'account AWS. Quando GKE su AWS deve eseguire un'azione per il cluster, richiede un token di breve durata da AWS. Il ruolo API Multi-Cloud di GKE utilizza questo token per l'autenticazione in AWS.
Agenti di servizio
Per concedere a Google Cloud l'accesso per creare, aggiornare, eliminare e gestire i cluster nel tuo account AWS, GKE su AWS crea un agente di servizio nel tuo progetto Google Cloud. L'agente di servizio utilizza il ruolo AWS IAM dell'API GKE Multi-Cloud. Devi creare un ruolo AWS IAM per l'agente di servizio in ogni progetto Google Cloud da cui gestisci i cluster GKE.
L'agente di servizio utilizza l'indirizzo email
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com
.
Per ulteriori informazioni sulle autorizzazioni IAM di Google Cloud, vedi Agente di servizio Anthos Multi-Cloud.
Autorizzazioni AWS IAM per GKE su AWS
Puoi creare ruoli che utilizzano ruoli AWS IAM predefiniti o creare criteri AWS IAM personalizzati che soddisfano i requisiti della tua organizzazione.
Utilizza criteri predefiniti
Un criterio AWS IAM è un insieme di autorizzazioni. Per concedere le autorizzazioni alla creazione e alla gestione dei cluster, devi prima creare criteri AWS IAM per i ruoli seguenti:
- Ruolo di Agente di servizio API Multi-Cloud GKE
- L'API GKE Multi-Cloud utilizza questo ruolo AWS IAM per gestire le risorse utilizzando le API AWS. Questo ruolo è utilizzato da un agente di servizio.
- Ruolo AWS IAM piano di controllo
- Il piano di controllo del cluster utilizza questo ruolo per controllare i pool di nodi.
- Ruolo AWS IAM per il pool di nodi
- Il piano di controllo utilizza questo ruolo per creare le VM del pool di nodi.
Per utilizzare i ruoli AWS IAM suggeriti per GKE su AWS per gestire i cluster, consulta Creare ruoli AWS IAM.
Crea criteri IAM personalizzati
Per limitare ulteriormente le autorizzazioni, invece di utilizzare i criteri suggeriti, puoi creare criteri AWS IAM personalizzati che consentono GKE su AWS. Ad esempio, puoi limitare le autorizzazioni alle risorse con un determinato tag o alle risorse in un VPC AWS
Controllo dell'accesso con i tag
Puoi limitare i criteri AWS IAM in modo da consentire azioni solo su un insieme limitato di risorse utilizzando i tag AWS. Qualsiasi ruolo con quel tag specificato nel campo condizione sarà limitato al funzionamento su risorse con lo stesso tag. Puoi utilizzare questo approccio per limitare i ruoli amministrativi ad agire sulle risorse in un cluster o un pool di nodi specifico.
Per limitare un criterio AWS IAM in modo che si applichi solo alle risorse con un tag specifico, includi il valore del tag nel campo Condition
del criterio, quindi trasmetti il valore del tag quando crei il cluster e i pool di nodi. GKE su AWS applica questo tag
durante la creazione delle risorse.
Per ulteriori informazioni sui tag, consulta Tagging delle risorse AWS. Per ulteriori informazioni sull'utilizzo dei tag con un criterio AWS, consulta Controllo dell'accesso alle risorse AWS.
Per ulteriori informazioni sulla creazione di risorse dei cluster con un determinato tag, consulta la documentazione di riferimento di gcloud container aws clusters create
e gcloud container aws node-pools create
.
Per un elenco delle autorizzazioni specifiche necessarie a GKE su AWS per ciascun criterio, consulta l'elenco dei ruoli IAM AWS.