Descripción general del control de acceso

Cuando creas un proyecto de Google Cloud Platform (GCP) eres el único usuario en el proyecto. Según la configuración predeterminada, ningún otro usuario tiene acceso a tu proyecto o a tus recursos, incluidos los recursos de Google Kubernetes Engine, hasta que los agregues como miembros del equipo y les otorgues funciones en tu proyecto. Esta página describe cómo configurar el control de acceso para tus recursos GKE.

Opciones de control de acceso

Puedes usar dos funciones de control de acceso para proteger tu proyecto, clústeres y datos: Google Cloud Identity & Access Management (Cloud IAM) y el control de acceso según funciones de Kubernetes (RBAC).

Cloud IAM es el sistema de control de acceso de GCP para administrar la autenticación y la autorización de los recursos de GCP. Usa Cloud IAM para otorgar a los usuarios acceso a los recursos de GKE y Kubernetes.

El sistema de RBAC de Kubernetes otorga permisos detallados para recursos y operaciones específicas dentro de tus clústeres.

Cloud IAM

Cloud IAM ofrece funciones para administrar el acceso a proyectos y recursos GCP. Después de agregar usuarios a tu proyecto, les asignas funciones que les otorgan permiso para realizar operaciones dentro de tu proyecto y clústeres. Puedes asignar primitiva y predefinida. También puedes crear funciones personalizadas para propósitos de prueba.

Además, usa Cloud IAM para crear y configurar cuentas de servicio: Cuentas de Google asociadas a tu proyecto que realizan tareas en tu nombre. A las cuentas de servicio se les asignan funciones y permisos de la misma manera que a los usuarios humanos.

Para obtener más información, consulta Creación de política de Cloud IAM.

RBAC de Kubernetes

El RBAC de Kubernetes te permite usar las API de control de acceso nativas de Kubernetes para crear funciones con permisos detallados en los recursos y las operaciones de Kubernetes a nivel de clúster o espacio de nombres. Después de crear funciones, crea vinculaciones de funciones que asignan funciones a usuarios y cuentas de servicio de Kubernetes.

Este sistema es útil si ya estás familiarizado con el control de acceso dentro de Kubernetes y prefieres administrar el acceso de una manera independiente de la nube.

Para obtener más información, consulta la documentación del Control de acceso basado en funciones.

¿Debo usar Cloud IAM o el RBAC?

Cuando evalúas tus necesidades de control de acceso, considera qué tipo de control de acceso te sería más útil:

  • Usa GCP Cloud IAM para otorgar acceso a los recursos y las operaciones mediante funciones primitivas, predefinidas o personalizadas. Puedes asignar funciones a nivel de proyecto y de clúster. Puedes administrar los permisos para GCP, GKE y Kubernetes juntos en un solo lugar.

  • Usa el RBAC para configurar el acceso detallado a los recursos y operaciones de Kubernetes a nivel de clúster y espacio de nombres. Dado que RBAC es el sistema de autorización nativo de Kubernetes, la administración de permisos es coherente en todos los clústeres en diferentes entornos de nube y locales.

¿Qué sigue?

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...