Diese Dokumentation bezieht sich auf die neueste Version von Anthos-Clustern in AWS, die am 3. November veröffentlicht wurde. Weitere Informationen finden Sie in den Versionshinweisen. Dokumentationen zur vorherigen Generation der Anthos-Cluster in AWS finden Sie unter Vorherige Generation.

Informationen zu AWS-IAM-Rollen

Auf dieser Seite wird beschrieben, wie Google Cloud AWS Identity and Access Management (IAM)-Berechtigungen und -Rollen für GKE on AWS verwaltet.

GKE on AWS verwendet die AWS API, um Ressourcen wie EC2-Instanzen, Autoscaling-Gruppen und Load-Balancer für GKE on AWS-Komponenten und Ihre Arbeitslasten zu erstellen. Sie müssen Google Cloud AWS IAM-Berechtigungen erteilen, um diese Ressourcen zu erstellen.

So greift GKE on AWS auf die AWS API zu

GKE on AWS verwendet die Identitätsföderation in AWS, um den differenzierten Zugriff auf Ihr AWS-Konto zu verwalten. Wenn GKE on AWS eine Aktion für Ihren Cluster ausführen muss, fordert es ein kurzlebiges Token von AWS an. Die GKE Multi-Cloud API-Rolle verwendet dieses Token zur Authentifizierung bei AWS.

Dienst-Agents

Damit Google Cloud Zugriff zum Erstellen, Aktualisieren, Löschen und Verwalten von Clustern in Ihrem AWS-Konto gewähren kann, erstellt GKE on AWS einen Dienst-Agent in Ihrem Google Cloud-Projekt. Der Dienst-Agent ist ein von Google verwaltetes Dienstkonto, das die AWS-IAM-Rolle „GKE Multi-Cloud API“ verwendet. Sie müssen in jedem Google Cloud-Projekt, in dem Sie GKE-Cluster verwalten, eine AWS IAM-Rolle für den Dienst-Agent erstellen. Der Dienst-Agent verwendet die E-Mail-Adresse service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com. Weitere Informationen zu Google Cloud IAM-Berechtigungen finden Sie unter Anthos Multi-Cloud Service Agent.

AWS-IAM-Berechtigungen für GKE on AWS

Sie können Rollen erstellen, die standardmäßige AWS-IAM-Rollen verwenden, oder eigene benutzerdefinierte AWS-IAM-Richtlinien erstellen, die den Anforderungen Ihrer Organisation entsprechen.

Standardrichtlinien verwenden

Eine AWS-IAM-Richtlinie ist eine Sammlung von Berechtigungen. Zum Gewähren von Berechtigungen zum Erstellen und Verwalten von Clustern müssen Sie zuerst AWS IAM-Richtlinien für die folgenden Rollen erstellen:

Rolle des GKE Multi-Cloud API-Dienst-Agents: Die GKE Multi-Cloud API verwendet diese AWS IAM-Rolle, um Ressourcen mithilfe von AWS APIs zu verwalten. Diese Rolle wird von einem von Google verwalteten Dienstkonto verwendet, das als Dienst-Agent bezeichnet wird.
AWS-IAM-Rolle der Steuerungsebene: Ihre Clustersteuerungsebene verwendet diese Rolle zur Steuerung der Knotenpools.
AWS-IAM-Rolle für Knotenpool: Die Steuerungsebene verwendet diese Rolle zum Erstellen von Knotenpool-VMs.

Informationen zum Verwenden der vorgeschlagenen AWS IAM-Rollen für GKE on AWS zum Verwalten von Clustern finden Sie unter AWS-IAM-Rollen erstellen.

Benutzerdefinierte IAM-Richtlinien erstellen

Wenn Sie Berechtigungen weiter einschränken möchten, können Sie anstelle der vorgeschlagenen Richtlinien benutzerdefinierte AWS IAM-Richtlinien erstellen, die GKE on AWS zulassen. Sie können beispielsweise Berechtigungen für Berechtigungen auf Ressourcen mit einem bestimmten Tag oder Ressourcen in einer bestimmten AWS-VPC beschränken.

Zugriff mit Tags steuern

Sie können mithilfe von AWS-Tags AWS-IAM-Richtlinien einschränken, um Aktionen nur für eine begrenzte Anzahl von Ressourcen zuzulassen. Jede Rolle mit diesem Tag im Bedingungsfeld ist auf den Betrieb von Ressourcen mit demselben Tag beschränkt. Damit können Sie die Verwaltung von Rollen auf Ressourcen in einem bestimmten Cluster oder Knotenpool beschränken.

Fügen Sie den Wert des Tags in das Feld Condition der Richtlinie ein und übergeben Sie dann den Tagwert, wenn Sie den Cluster und die Knotenpools erstellen, wenn Sie eine AWS-IAM-Richtlinie so einschränken möchten, dass sie nur auf Ressourcen mit einem bestimmten Tag angewendet wird. GKE on AWS wendet dieses Tag beim Erstellen von Ressourcen an.

Weitere Informationen zu Tags finden Sie unter AWS-Ressourcen taggen. Weitere Informationen zur Verwendung von Tags mit einer AWS-Richtlinie finden Sie unter Zugriff auf AWS-Ressourcen steuern.

Weitere Informationen zum Erstellen von Clusterressourcen mit einem bestimmten Tag finden Sie in der Referenzdokumentation zu gcloud container aws clusters create und gcloud container aws node-pools create.

Eine Liste der spezifischen Berechtigungen, die GKE on AWS für jede Richtlinie benötigt, finden Sie in der Liste der AWS-IAM-Rollen.