Nesta página, descrevemos como o Google Cloud gerencia as permissões e os papéis do Identity and Access Management (IAM) da AWS para o GKE na AWS.
O GKE na AWS usa a API da AWS para criar recursos, como instâncias do EC2, grupos de escalonamento automático e balanceadores de carga para componentes do GKE na AWS e suas cargas de trabalho. Forneça ao Google Cloud permissões do IAM da AWS para criar esses recursos.
Como o GKE na AWS acessa a API da AWS
O GKE na AWS usa a federação de identidades na AWS para gerenciar o acesso detalhado à sua conta da AWS. Quando o GKE na AWS precisar realizar uma ação no cluster, ele solicita um token de curta duração da AWS. O papel da API GKE Multi-Cloud usa esse token para se autenticar na AWS.
Agentes de serviço
Para conceder ao Google Cloud acesso para criar, atualizar, excluir e
gerenciar clusters na conta da AWS, o GKE na AWS cria um
agente de serviço no
projeto do Google Cloud. O agente de serviço usa o
papel de IAM da AWS na API GKE Multi-Cloud. É necessário criar um papel do AWS IAM para o
agente de serviço em cada projeto do Google Cloud em que você gerencia clusters do GKE.
O agente de serviço usa o endereço de e-mail
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Para mais informações sobre as permissões do Google Cloud IAM,
consulte
Agente de serviço de várias nuvens do Anthos.
Permissões do IAM da AWS para o GKE na AWS
É possível criar papéis que usem os papéis padrão do IAM da AWS ou suas próprias políticas personalizadas do IAM para que atendam aos requisitos da organização.
Usar políticas padrão
Uma política de IAM da AWS é um conjunto de permissões. Para conceder permissões para criar e gerenciar clusters, primeiro crie políticas do IAM da AWS para os seguintes papéis:
- Papel de agente de serviço da API GKE Multi-Cloud
- A API GKE Multi-Cloud usa esse papel do IAM da AWS para gerenciar recursos usando as APIs da AWS. Esse papel é usado por um agente de serviço.
- Papel do IAM do AWS no plano de controle
- O plano de controle do cluster usa esse papel para controlar os pools de nós.
- Papel do IAM do AWS do pool de nós
- O plano de controle usa esse papel para criar VMs do pool de nós.
Para usar os papéis sugeridos do IAM da AWS para o GKE na AWS a fim de gerenciar clusters, consulte Criar papéis de IAM da AWS.
Criar políticas personalizadas do IAM
Para restringir ainda mais as permissões, em vez de usar as políticas sugeridas, crie políticas personalizadas do IAM da AWS que permitam o GKE na AWS. Por exemplo, é possível restringir permissões a recursos com uma determinada tag ou em uma VPC específica da AWS.
Como controlar o acesso com tags
É possível restringir as políticas do IAM da AWS para permitir ações apenas em um conjunto limitado de recursos, usando tags da AWS. Qualquer papel com essa tag especificada no campo de condição será restrito a operar em recursos com a mesma tag. É possível usar isso para restringir papéis administrativos à ação em recursos em um cluster ou pool de nós específico.
Para restringir uma política do IAM da AWS para que seja aplicada somente a recursos com uma tag específica, inclua o valor da tag no campo Condition da política. Em seguida, transmita o valor da tag ao criar o cluster e os pools de nós. O GKE na AWS
aplica essa tag quando ele cria recursos.
Para mais informações sobre tags, consulte Recurso de inclusão de tag da AWS. Para mais informações sobre o uso de tags com uma política da AWS, consulte Como controlar o acesso aos recursos da AWS.
Para mais informações sobre como criar recursos de cluster com uma tag específica, consulte a documentação de referência de gcloud container aws clusters create e gcloud container aws node-pools create. de dados.
Para uma lista de permissões específicas que o GKE na AWS precisa para cada política, consulte a lista de papéis do IAM da AWS.