Mengelola identitas dengan GKE Identity Service

GKE di AWS mendukung OpenID Connect (OIDC) dan AWS IAM sebagai mekanisme autentikasi untuk berinteraksi dengan server Kubernetes API cluster, menggunakan GKE Identity Service. GKE Identity Service adalah layanan autentikasi yang memungkinkan Anda menghadirkan solusi identitas yang sudah ada untuk autentikasi ke beberapa lingkungan. Pengguna dapat login dan menggunakan cluster GKE Anda dari command line atau dari Konsol Google Cloud, semuanya menggunakan penyedia identitas Anda yang sudah ada.

Untuk ringkasan cara kerja GKE Identity Service, lihat Memperkenalkan GKE Identity Service.

Jika Anda sudah menggunakan atau ingin menggunakan identitas Google untuk login ke cluster GKE, sebaiknya gunakan perintah gcloud containers aws clusters get-credentials untuk autentikasi. Pelajari lebih lanjut di bagian Menghubungkan dan melakukan autentikasi ke cluster.

Autentikasi OpenID Connect

Sebelum memulai

  1. Untuk menggunakan autentikasi OIDC, pengguna harus dapat terhubung ke bidang kontrol cluster. Lihat Menghubungkan ke bidang kontrol cluster.

  2. Untuk melakukan autentikasi melalui Konsol Google Cloud, Anda harus mendaftarkan setiap cluster yang ingin dikonfigurasi dengan fleet project Anda. Untuk GKE di AWS, ini bersifat otomatis setelah Anda membuat node pool.

  3. Untuk mengizinkan pengguna melakukan autentikasi melalui Konsol Google Cloud, pastikan semua cluster yang ingin dikonfigurasi terdaftar dengan fleet project Anda. Untuk GKE di AWS, ini berjalan otomatis setelah Anda membuat kumpulan node.

Proses dan opsi penyiapan

  1. Daftarkan GKE Identity Service sebagai klien dengan penyedia OIDC Anda dengan mengikuti petunjuk dalam Mengonfigurasi penyedia untuk GKE Identity Service.

  2. Pilih dari opsi konfigurasi cluster berikut:

  3. Siapkan akses pengguna ke cluster Anda, termasuk role-based access control (RBAC), dengan mengikuti petunjuk dalam Menyiapkan akses pengguna untuk GKE Identity Service.

Mengakses cluster

Setelah GKE Identity Service disiapkan di cluster, pengguna dapat login ke cluster menggunakan command line atau Konsol Google Cloud.

Autentikasi IAM AWS

Dukungan IAM AWS pada GKE di AWS menggunakan GKE Identity Service.

Sebelum memulai

Untuk menggunakan autentikasi IAM AWS, pengguna harus dapat terhubung ke bidang kontrol cluster. Lihat Menghubungkan ke bidang kontrol cluster.

Proses dan opsi penyiapan

Untuk mengonfigurasi cluster Anda agar mengizinkan autentikasi AWS IAM untuk region AWS tertentu, lakukan hal berikut:

  1. Edit resource ClientConfig di cluster Anda:

    kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public

    Ganti KUBECONFIG_PATH dengan jalur ke file kubeconfig cluster Anda, misalnya $HOME/.kube/config.

    Editor teks memuat resource ClientConfig cluster Anda. Tambahkan objek spec.authentication.aws seperti yang ditunjukkan di bawah ini. Jangan ubah data default apa pun yang telah ditulis.

    apiVersion: authentication.gke.io/v2alpha1
kind: ClientConfig
metadata:
  name: default
  namespace: kube-public
spec:
  authentication:
  - name: NAME
    aws:
      region: AWS_REGION

    Ganti kode berikut:

    • NAME: nama arbitrer dari metode autentikasi ini. misalnya "aws-iam".
    • AWS_REGION: region AWS tempat info pengguna diambil. Region harus cocok dengan region yang dikonfigurasi di AWS CLI pengguna Anda.

  2. Agar pengguna cluster Anda dapat menggunakan IAM AWS, ikuti artikel Menyiapkan akses pengguna untuk GKE Identity Service.

Mengakses cluster

Setelah GKE Identity Service disiapkan di cluster, pengguna dapat login ke cluster menggunakan command line atau Konsol Google Cloud.

Untuk mempelajari cara login ke cluster terdaftar dengan identitas AWS IAM Anda, lihat Mengakses cluster menggunakan GKE Identity Service.