La federación de identidades de personal otorga a las identidades que no son de Google acceso a los servicios de Google Cloud. En el contexto de GKE on AWS, esto significa que puedes usar identidades externas preexistentes para crear o acceder a un clúster de GKE sin depender de las credenciales de Google.
Los beneficios de usar la federación de identidades de personal son los siguientes:
- Eliminas la necesidad de tener cuentas duplicadas en diferentes plataformas o proveedores.
- Configuras los permisos solo una vez, sin necesidad de configurar parámetros en varias plataformas.
- Simplificas el acceso de los usuarios, ya que se requieren menos accesos y contraseñas.
Antes de comenzar
Antes de permitir que los usuarios o grupos externos accedan a los clústeres de GKE, debes realizar los siguientes pasos:
Para que los usuarios o grupos externos puedan usar la API de GKE on AWS, configura la federación de identidades de personal:
- Para los usuarios de Azure, consulta Configura la federación de identidades de personal con Azure AD.
- Para los usuarios de Okta, consulta Configura la federación de identidades de personal con Okta.
- Para usuarios de otras plataformas, consulta Configura la federación de identidades de personal.
Asigna a tus usuarios o grupos externos la función
gkemulticloud.viewer
para que puedan acceder a los clústeres. Asigna el rolcontainer.clusterViewer
para ver los clústeres en la consola de Google Cloud.Ten en cuenta que los roles son colecciones de permisos. Cuando asignas un rol a una entidad (usuario, grupo o cuenta de servicio), le otorgas a esa entidad todos los permisos que contiene el rol.
Usuarios
Para los usuarios individuales, debes asignar el rol
gkemulticloud.viewer
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.viewer" \ --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto de Google Cloud.WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.SUBJECT_VALUE
: Es el ID que identifica de forma única a un usuario externo. Por ejemplo, el ID puede ser una dirección de correo electrónico, comoalex@cymbalgroup.com
.
Grupos
Para los grupos, debes asignar la función
gkemulticloud.viewer
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.viewer" \ --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto de Google Cloud.WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.GROUP_ID
: Es un ID que identifica de forma exclusiva un grupo externo.
Opcional: Asigna a tus usuarios o grupos externos las funciones adecuadas de Identity and Access Management (IAM). Este paso solo es necesario si deseas otorgar a los usuarios o grupos la capacidad de crear o actualizar clústeres; no es necesario para acceder a un clúster.
Usuarios
Para los usuarios individuales, debes asignar el rol
gkemulticloud.admin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.admin" \ --member="principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE"
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto de Google Cloud.WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.SUBJECT_VALUE
: Es el ID que identifica de forma única a un usuario externo. Por ejemplo, el ID puede ser una dirección de correo electrónico, comoalex@cymbalgroup.com
.
Grupos
Para los grupos, debes asignar la función
gkemulticloud.admin
:gcloud projects add-iam-policy-binding PROJECT_ID \ --role="roles/gkemulticloud.admin" \ --member="principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID"
Reemplaza lo siguiente:
PROJECT_ID
: El ID del proyecto de Google Cloud.WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.GROUP_ID
: Es un ID que identifica de forma exclusiva un grupo externo.
Si deseas obtener más información sobre qué funciones y permisos de la API se requieren para GKE on AWS, consulta Funciones y permisos de la API.
Otorga acceso externo a los clústeres de GKE
Existen dos métodos para configurar la federación de identidades de personal, de modo que los usuarios o grupos externos puedan acceder a tus clústeres de GKE.
El método 1 requiere que definas un archivo RBAC y lo apliques al clúster. Este método ofrece un control detallado sobre los permisos, como permitir a los usuarios acceso de solo lectura a los recursos sin otorgarles un acceso más amplio.
El método 2 requiere que especifiques el acceso para las identidades externas cuando creas o actualizas un clúster. Este método otorga privilegios administrativos completos a los usuarios o grupos especificados.
Elige el método que mejor se adapte al nivel de control de acceso que deseas: el método 1 para obtener permisos más detallados o el método 2 para otorgar todos los derechos de administrador del clúster.
Método n.o 1: Usa un archivo RBAC
El primer método para otorgar acceso externo a los clústeres de GKE implica el uso de un archivo RBAC. Lleva a cabo los pasos siguientes:
Define un archivo YAML de RBAC que incluya los sujetos (usuarios o grupos) y los permisos que deseas otorgarles dentro del clúster de GKE. A continuación, se muestran ejemplos de configuraciones de YAML de RBAC para usuarios individuales y grupos:
Usuarios
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-user subjects: - kind: User name: principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject/SUBJECT_VALUE roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io
Reemplaza lo siguiente:
WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.SUBJECT_VALUE
: Es el ID que identifica de forma única a un usuario externo. Por ejemplo, el ID puede ser una dirección de correo electrónico, comoalex@cymbalgroup.com
.
Grupos
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: name: gateway-cluster-admin-group subjects: - kind: Group name: principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID roleRef: kind: ClusterRole name: cluster-admin apiGroup: rbac.authorization.k8s.io
Reemplaza lo siguiente:
WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.GROUP_ID
: Es un ID que identifica de forma exclusiva un grupo externo.
Identifica el clúster de GKE que deseas configurar y establécelo como el contexto activo con el siguiente comando:
kubectl config use-context CLUSTER_CONTEXT
Reemplaza
CLUSTER_CONTEXT
por el nombre del contexto adecuado para tu clúster.Con el clúster de GKE deseado establecido como el contexto activo, aplica la configuración de RBAC al clúster con el siguiente comando:
kubectl apply -f RBAC_PATH
Reemplaza
RBAC_PATH
por la ruta de acceso al archivo RBAC que creaste o editaste.Cuando ejecutas este comando, los usuarios o grupos especificados en la configuración de RBAC ahora tienen los permisos para acceder al clúster de GKE orientado y administrarlo, como se define en las reglas de RBAC.
Si necesitas realizar cambios posteriores en los permisos, modifica el archivo RBAC y vuelve a aplicarlo al clúster con la repetición de los pasos anteriores.
Método n.o 2: Otorga acceso a identidades externas durante la creación o actualización del clúster
El método 2 otorga acceso a identidades externas durante el proceso de creación o actualización del clúster.
Para crear un clúster, sigue los pasos que se indican en Crea un clúster. Para actualizar un clúster, sigue los pasos que se indican en Cómo actualizar un clúster.
Cuando ejecutes el comando gcloud
para crear o actualizar un clúster, especifica los parámetros admin-users
o admin-groups
de la siguiente manera:
gcloud container aws clusters [create|update] CLUSTER_NAME \
--location=LOCATION
--admin-users=principal://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/subject SUBJECT_VALUE \
--admin-groups=principalSet://iam.googleapis.com/locations/global/workforcePools/WORKFORCE_POOL_ID/group/GROUP_ID
Reemplaza lo siguiente:
CLUSTER_NAME
: es el nombre de tu clúster.LOCATION
: Es la región de Google Cloud en la que se administra tu clúster.WORKFORCE_POOL_ID
: Es el ID que identifica de forma única tu grupo de identidad de personal en Google Cloud. Cuando le des formato al ID, asegúrate de seguir los lineamientos recomendados que se proporcionan en la documentación de IAM en Parámetros de consulta.SUBJECT_VALUE
: Es el ID que identifica de forma única a un usuario externo. Por ejemplo, el ID puede ser una dirección de correo electrónico, comoalex@cymbalgroup.com
.GROUP_ID
: Es un ID que identifica de forma exclusiva un grupo externo.
Resumen de cómo otorgar acceso de IDs externos a clústeres de GKE
Después de realizar el método 1 o 2, los usuarios o grupos externos especificados pueden usar la consola de Google Cloud para conectarse y ver los detalles del clúster. Como alternativa, pueden
usar kubectl
con identidad desde la CLI de gcloud
para administrar, manipular y comunicarse con el clúster.
Para ejecutar comandos kubectl
en clústeres de GKE, consulta cómo generar una entrada kubeconfig
.