Anthos GKE on AWS (GKE on AWS) unterstützt die folgenden Authentifizierungsmethoden:
- Verbinden
- OpenID Connect (OIDC).
Verbinden
Wenn Sie sich über die Google Cloud Console mit Connect anmelden möchten, können Anthos-Cluster in AWS das Inhabertoken eines Kubernetes-Dienstkontos verwenden. Weitere Informationen finden Sie unter Verbindung zum Cluster mit der Google Cloud Console herstellen.
Kubernetes API-Server und ID-Token
Nach der Authentifizierung beim Cluster können Sie über die kubectl
CLI der gcloud CLI interagieren. Wenn kubectl
den Kubernetes API-Server im Namen des Nutzers aufruft, überprüft der API-Server das Token mithilfe des öffentlichen Zertifikats des OpenID-Anbieters. Anschließend parst der API-Server das Token, um die Identität und die Sicherheitsgruppen des Nutzers zu ermitteln.
Der API-Server ermittelt, ob der Nutzer berechtigt ist, diesen bestimmten Aufruf auszuführen. Dazu gleicht er die Sicherheitsgruppen des Nutzers mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) des Clusters ab.
OIDC
Anthos-Cluster in AWS unterstützt die OIDC-Authentifizierung mit dem Anthos Identity-Dienst. Anthos Identity Service unterstützt viele Identitätsanbieter. Weitere Informationen finden Sie unter Unterstützte Identitätsanbieter.
Übersicht
Mit OIDC können Sie den Zugriff auf Cluster verwalten und die Standardverfahren in Ihrer Organisation zum Erstellen, Aktivieren und Deaktivieren von Mitarbeiterkonten verwenden. Sie können auch die Sicherheitsgruppen Ihrer Organisation verwenden, um den Zugriff auf einen Kubernetes-Cluster oder auf bestimmte Dienste im Cluster zu konfigurieren.
Dies ist ein typischer OIDC-Anmeldevorgang:
Ein Nutzer meldet sich bei einem OpenID-Anbieter an, indem er einen Nutzernamen und ein Passwort angibt.
Der OpenID-Anbieter signiert und stellt ein ID-Token für den Nutzer aus.
Die gcloud CLI sendet eine HTTPS-Anfrage an den Kubernetes API-Server. Die Anfrage enthält das ID-Token des Nutzers im Anfrageheader.
Der Kubernetes API-Server überprüft das Token mithilfe des Zertifikats des Anbieters.
Mit dem gcloud CLI anmelden
Führen Sie den Befehl gcloud anthos auth login
aus, um sich bei Ihren Clustern zu authentifizieren. Die gcloud CLI authentifiziert Ihre Anfrage beim Kubernetes API-Server.
Zur Verwendung der gcloud CLI müssen Ihre OIDC-ID-Tokens in der kubeconfig
-Datei gespeichert sein.
Fügen Sie Ihrer Datei kubeconfig
mit gcloud anthos create-login-config
Tokens hinzu.
Anthos-Cluster on AWS verwendet die gcloud CLI, um das ID-Token und andere OIDC-Werte in der kubeconfig
-Datei anzufordern und abzurufen.