I cluster Anthos su AWS (GKE su AWS) supportano i seguenti metodi di autenticazione:
- Connetti
- OpenID Connect (OIDC).
Connetti
Per accedere utilizzando la console Google Cloud con Connect, i cluster Anthos su AWS possono utilizzare un token di connessione dell'account di servizio Kubernetes. Per scoprire di più, consulta Accesso a un cluster da Google Cloud Console.
Il server API e il token ID di Kubernetes
Dopo l'autenticazione con il cluster, puoi interagire utilizzando l'interfaccia a riga di comando kubectl
di gcloud CLI. Quando kubectl
chiama il server API Kubernetes per conto dell'utente, il server API verifica il token utilizzando il certificato pubblico del provider OpenID. Quindi il server API analizza il token per apprendere l'identità dell'utente e i gruppi di sicurezza degli utenti.
Il server API determina se l'utente è autorizzato a effettuare questa particolare chiamata confrontando i gruppi di sicurezza dell'utente con il criterio di Controllo accesso basato sui ruoli (RBAC) del cluster.
OIDC
I cluster Anthos su AWS supportano l'autenticazione OIDC con Anthos Identity Service. Anthos Identity Service supporta molti provider di identità. Per scoprire di più, consulta i provider di identità supportati.
Panoramica
Con OIDC puoi gestire l'accesso a un cluster con le procedure standard nella tua organizzazione per creare, abilitare e disabilitare gli account dei dipendenti. Puoi anche utilizzare i gruppi di sicurezza della tua organizzazione per configurare l'accesso a un cluster Kubernetes o a servizi specifici nel cluster.
Di seguito è riportato un flusso di accesso tipico per OIDC:
Un utente accede a un provider OpenID presentando un nome utente e una password.
Il provider OpenID firma e invia un token ID per l'utente.
L'interfaccia a riga di comando gcloud invia una richiesta HTTPS al server API Kubernetes. L'applicazione include il token ID dell'utente nell'intestazione della richiesta.
Il server API di Kubernetes verifica il token utilizzando il certificato del provider.
Accedere con l'interfaccia a riga di comando gcloud
Esegui il comando gcloud anthos auth login
per autenticarti con i cluster. L'interfaccia a riga di comando gcloud autentica la tua richiesta al server API
Kubernetes.
Per utilizzare l'interfaccia a riga di comando gcloud, i token ID OIDC devono essere archiviati nel file kubeconfig
.
Aggiungi token al file kubeconfig
con
gcloud anthos create-login-config
.
I cluster Anthos su AWS utilizzano l'interfaccia a riga di comando gcloud per richiedere e ottenere il token ID e altri valori OIDC nel file kubeconfig
.