Questa pagina descrive come Google Cloud gestisce le autorizzazioni e i ruoli di AWS Identity and Access Management (IAM) per GKE su AWS.
GKE su AWS utilizza l'API AWS per creare risorse come istanze EC2, gruppi a scalabilità automatica e bilanciatori del carico sia per GKE su componenti AWS che per i tuoi carichi di lavoro. Devi fornire a Google Cloud le autorizzazioni AWS IAM per creare queste risorse.
Accesso all'API AWS di GKE su AWS
GKE su AWS utilizza la federazione delle identità in AWS per gestire l'accesso granulare al tuo account AWS. Quando GKE su AWS deve eseguire un'azione per il tuo cluster, richiede un token di breve durata da AWS. Il ruolo API GKE Multi-Cloud utilizza questo token per eseguire l'autenticazione ad AWS.
Agenti di servizio
Per concedere a Google Cloud l'accesso per creare, aggiornare, eliminare e gestire i cluster nel tuo account AWS, GKE su AWS crea un agente di servizio nel tuo progetto Google Cloud. L'agente di servizio è un account di servizio gestito da Google che utilizza il ruolo AWS IAM dell'API GKE Multi-Cloud.
Devi creare un ruolo AWS IAM per l'agente di servizio in ogni progetto Google Cloud da cui gestisci i cluster GKE.
L'agente di servizio utilizza l'indirizzo email service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Per ulteriori informazioni sulle autorizzazioni Google Cloud IAM, consulta
Agente di servizio Anthos Multi-Cloud.
Autorizzazioni AWS IAM per GKE su AWS
Puoi creare ruoli che utilizzano ruoli AWS IAM predefiniti oppure creare criteri AWS IAM personalizzati che soddisfano i requisiti della tua organizzazione.
Utilizza i criteri predefiniti
Un criterio AWS IAM è un insieme di autorizzazioni. Per concedere le autorizzazioni per creare e gestire i cluster, devi prima creare criteri AWS IAM per i seguenti ruoli:
- Ruolo agente di servizio API GKE Multi-Cloud
- L'API GKE Multi-Cloud utilizza questo ruolo AWS IAM per gestire le risorse mediante le API AWS. Questo ruolo è utilizzato da un account di servizio gestito da Google noto come agente di servizio.
- Ruolo AWS IAM del piano di controllo
- Il piano di controllo del cluster utilizza questo ruolo per controllare i pool di nodi.
- Ruolo AWS IAM del pool di nodi
- Il piano di controllo utilizza questo ruolo per creare VM del pool di nodi.
Per utilizzare i ruoli AWS IAM suggeriti per GKE su AWS al fine di gestire i cluster, consulta Creazione di ruoli AWS IAM.
Crea criteri IAM personalizzati
Per limitare ulteriormente le autorizzazioni, invece di utilizzare i criteri suggeriti, puoi creare criteri AWS IAM personalizzati che consentono GKE su AWS. Ad esempio, puoi limitare le autorizzazioni alle risorse con un determinato tag o alle risorse in un VPC AWS specifico
Controllo dell'accesso con i tag
Puoi limitare i criteri AWS IAM a consentire le azioni solo su un insieme limitato di risorse mediante i tag AWS. Qualsiasi ruolo con il tag specificato nel campo della condizione potrà essere utilizzato solo su risorse con lo stesso tag. Puoi utilizzarlo per limitare i ruoli amministrativi ad agire sulle risorse in un cluster o un pool di nodi specifico.
Per limitare l'applicazione di un criterio AWS IAM solo alle risorse con un tag specifico, includi il valore del tag nel campo Condition del criterio, quindi passa il valore del tag quando crei i pool di cluster e nodi. GKE su AWS applica questo tag
quando crea le risorse.
Per maggiori informazioni sui tag, consulta la pagina relativa al tagging delle risorse AWS. Per ulteriori informazioni sull'uso dei tag con un criterio AWS, consulta Controllo dell'accesso alle risorse AWS.
Per saperne di più sulla creazione di risorse cluster con un determinato tag, consulta la documentazione di riferimento per gcloud container aws clusters create e gcloud container aws node-pools create.
Per un elenco delle autorizzazioni specifiche di cui GKE su AWS ha bisogno per ciascun criterio, consulta l'elenco dei ruoli AWS IAM.