Il prodotto descritto in questa documentazione, Cluster Anthos su AWS (generazione precedente), è ora in modalità di manutenzione. Tutte le nuove installazioni devono utilizzare il prodotto di generazione attuale, Cluster Anthos su AWS.

Autenticazione

I cluster Anthos su AWS (GKE su AWS) supportano i seguenti metodi di autenticazione:

Connetti
OpenID Connect (OIDC).

Connetti

Per accedere utilizzando la console Google Cloud con Connect, i cluster Anthos su AWS possono utilizzare un token di connessione dell'account di servizio Kubernetes. Per scoprire di più, consulta Accesso a un cluster da Google Cloud Console.

Il server API e il token ID di Kubernetes

Dopo l'autenticazione con il cluster, puoi interagire utilizzando l'interfaccia a riga di comando kubectl di gcloud CLI. Quando kubectl chiama il server API Kubernetes per conto dell'utente, il server API verifica il token utilizzando il certificato pubblico del provider OpenID. Quindi il server API analizza il token per apprendere l'identità dell'utente e i gruppi di sicurezza degli utenti.

Il server API determina se l'utente è autorizzato a effettuare questa particolare chiamata confrontando i gruppi di sicurezza dell'utente con il criterio di Controllo accesso basato sui ruoli (RBAC) del cluster.

OIDC

I cluster Anthos su AWS supportano l'autenticazione OIDC con Anthos Identity Service. Anthos Identity Service supporta molti provider di identità. Per scoprire di più, consulta i provider di identità supportati.

Panoramica

Con OIDC puoi gestire l'accesso a un cluster con le procedure standard nella tua organizzazione per creare, abilitare e disabilitare gli account dei dipendenti. Puoi anche utilizzare i gruppi di sicurezza della tua organizzazione per configurare l'accesso a un cluster Kubernetes o a servizi specifici nel cluster.

Di seguito è riportato un flusso di accesso tipico per OIDC:

Un utente accede a un provider OpenID presentando un nome utente e una password.
Il provider OpenID firma e invia un token ID per l'utente.
L'interfaccia a riga di comando gcloud invia una richiesta HTTPS al server API Kubernetes. L'applicazione include il token ID dell'utente nell'intestazione della richiesta.
Il server API di Kubernetes verifica il token utilizzando il certificato del provider.

Accedere con l'interfaccia a riga di comando gcloud

Esegui il comando gcloud anthos auth login per autenticarti con i cluster. L'interfaccia a riga di comando gcloud autentica la tua richiesta al server API Kubernetes.

Per utilizzare l'interfaccia a riga di comando gcloud, i token ID OIDC devono essere archiviati nel file kubeconfig. Aggiungi token al file kubeconfig con gcloud anthos create-login-config. I cluster Anthos su AWS utilizzano l'interfaccia a riga di comando gcloud per richiedere e ottenere il token ID e altri valori OIDC nel file kubeconfig.