Cette page décrit le fonctionnement des comptes de service Identity and Access Management (IAM) et des agents de service avec Google Kubernetes Engine (GKE).
Un compte de service IAM est un compte spécial destiné à être utilisé par une application plutôt qu'une personne directement.
Un agent de service est un compte de service géré par Google.
Les comptes de service et les agents de service au niveau du projet Google Cloud sont gérés par IAM.
Comptes de service IAM et comptes de service Kubernetes
Un compte de service IAM est limité dans un projet et est géré à l'aide d'IAM. Les comptes de service Cloud IAM peuvent être utilisés pour effectuer des appels authentifiés aux API Google Cloud.
Un compte de service Kubernetes est limité dans un cluster.
Les comptes de service Kubernetes existent en tant qu'objets ServiceAccount sur le serveur d'API Kubernetes et fournissent une identité pour les applications et les charges de travail exécutées dans les pods. Les pods peuvent s'authentifier auprès du serveur d'API à l'aide des comptes de service Kubernetes.
Vous pouvez utiliser Workload Identity pour permettre aux comptes de service Kubernetes d'emprunter l'identité des comptes de service IAM. Cela permet à vos applications de s'authentifier auprès des API Google Cloud sans exposer les clés de compte de service IAM à vos applications conteneurisées.
Agents de service GKE
GKE utilise l'agent de service Kubernetes Engine pour gérer le cycle de vie des ressources de cluster en votre nom, telles que les nœuds, les disques et les équilibreurs de charge. Cet agent de service dispose du domaine container-engine-robot.iam.gserviceaccount.com et du rôle Agent de service Kubernetes Engine (roles/container.serviceAgent) sur votre projet lorsque vous activez l'API GKE.
L'identifiant de cet agent de service est :
service-PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com
Où PROJECT_NUMBER est le numéro de votre projet.
Si vous désactivez l'agent de service GKE, vous pouvez le récupérer en suivant les instructions de la page Activer un compte de service.
Si vous supprimez les autorisations de l'agent de service dans votre projet, vous pouvez les récupérer en suivant les instructions de la section Erreur 400/403 : autorisations de modification manquantes sur le compte.
Si vous supprimez l'agent de service GKE par défaut, vous pouvez annuler sa suppression en suivant les instructions de la page Annuler la suppression d'un compte de service.
Compte de service de nœud GKE par défaut
Par défaut, les nœuds GKE utilisent le compte de service par défaut Compute Engine.
Par défaut, ce compte de service se voit attribuer le rôle d'éditeur (roles/editor) et dispose de plus d'autorisations que nécessaire pour les nœuds GKE.
Envisagez d'utiliser un rôle utilisant les autorisations minimales requises pour exécuter des nœuds dans le cluster.
Ne désactivez pas le compte de service Compute Engine par défaut, sauf si vous effectuez une migration vers des comptes de service gérés par l'utilisateur.
Autorisations minimales
GKE nécessite un ensemble minimal d'autorisations IAM pour exploiter votre cluster. Pour savoir comment créer un compte de service IAM doté de privilèges minimaux, consultez la section Utiliser le principe du moindre privilège pour les comptes de service Google.
Étapes suivantes
- Apprenez à utiliser des comptes de service Google dotés de privilèges minimaux.
- Découvrez comment attribuer un rôle à un compte principal.