Das in dieser Dokumentation beschriebene Produkt Anthos-Cluster in AWS (vorherige Generation) befindet sich jetzt im Wartungsmodus. Alle neuen Installationen müssen Anthos-Cluster in AWS der aktuellen Generation verwenden.

Authentifizierung

Anthos GKE on AWS (GKE on AWS) unterstützt die folgenden Authentifizierungsmethoden:

Verbinden
OpenID Connect (OIDC).

Verbinden

Wenn Sie sich über die Google Cloud Console mit Connect anmelden möchten, können Anthos-Cluster in AWS das Inhabertoken eines Kubernetes-Dienstkontos verwenden. Weitere Informationen finden Sie unter Verbindung zum Cluster mit der Google Cloud Console herstellen.

Kubernetes API-Server und ID-Token

Nach der Authentifizierung beim Cluster können Sie über die kubectl CLI der gcloud CLI interagieren. Wenn kubectl den Kubernetes API-Server im Namen des Nutzers aufruft, überprüft der API-Server das Token mithilfe des öffentlichen Zertifikats des OpenID-Anbieters. Anschließend parst der API-Server das Token, um die Identität und die Sicherheitsgruppen des Nutzers zu ermitteln.

Der API-Server ermittelt, ob der Nutzer berechtigt ist, diesen bestimmten Aufruf auszuführen. Dazu gleicht er die Sicherheitsgruppen des Nutzers mit der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) des Clusters ab.

OIDC

Anthos-Cluster in AWS unterstützt die OIDC-Authentifizierung mit dem Anthos Identity-Dienst. Anthos Identity Service unterstützt viele Identitätsanbieter. Weitere Informationen finden Sie unter Unterstützte Identitätsanbieter.

Übersicht

Mit OIDC können Sie den Zugriff auf Cluster verwalten und die Standardverfahren in Ihrer Organisation zum Erstellen, Aktivieren und Deaktivieren von Mitarbeiterkonten verwenden. Sie können auch die Sicherheitsgruppen Ihrer Organisation verwenden, um den Zugriff auf einen Kubernetes-Cluster oder auf bestimmte Dienste im Cluster zu konfigurieren.

Dies ist ein typischer OIDC-Anmeldevorgang:

Ein Nutzer meldet sich bei einem OpenID-Anbieter an, indem er einen Nutzernamen und ein Passwort angibt.
Der OpenID-Anbieter signiert und stellt ein ID-Token für den Nutzer aus.
Die gcloud CLI sendet eine HTTPS-Anfrage an den Kubernetes API-Server. Die Anfrage enthält das ID-Token des Nutzers im Anfrageheader.
Der Kubernetes API-Server überprüft das Token mithilfe des Zertifikats des Anbieters.

Mit dem gcloud CLI anmelden

Führen Sie den Befehl gcloud anthos auth login aus, um sich bei Ihren Clustern zu authentifizieren. Die gcloud CLI authentifiziert Ihre Anfrage beim Kubernetes API-Server.

Zur Verwendung der gcloud CLI müssen Ihre OIDC-ID-Tokens in der kubeconfig-Datei gespeichert sein. Fügen Sie Ihrer Datei kubeconfig mit gcloud anthos create-login-config Tokens hinzu. Anthos-Cluster on AWS verwendet die gcloud CLI, um das ID-Token und andere OIDC-Werte in der kubeconfig-Datei anzufordern und abzurufen.