El producto descrito en esta documentación, GKE en AWS, ahora está en modo de mantenimiento y se cerrará el 17 de marzo de 2027.

Esta página se ha traducido con Cloud Translation API.

Descripción general sobre la autenticación

En esta página se describe cómo gestiona GKE en AWS la autenticación enGoogle Cloud y la autenticación de usuarios en tus clústeres.

Cómo se conecta GKE on AWS a AWS

Para obtener más información sobre cómo usa GKE on AWS los roles de gestión de identidades y accesos de AWS para conectarse a AWS, consulta Roles de gestión de identidades y accesos de AWS.

Autenticación

Autenticación de la API GKE Multi-cloud

Puedes usar la API de GKE Multi-Cloud para crear, actualizar y eliminar clústeres y grupos de nodos. Al igual que con otras APIs de Google Cloud , puedes usar esta API con REST, Google Cloud CLI o la consola de Google Cloud .

Para obtener más información, consulta la Google Cloud descripción general de la autenticación y la documentación de referencia de la API Multi-Cloud de GKE.

Autenticación de la API de Kubernetes

Puedes usar la herramienta de línea de comandos kubectl para realizar operaciones de clúster, como implementar una carga de trabajo y configurar un balanceador de carga. La herramienta kubectl se conecta a la API de Kubernetes en el plano de control de tu clúster. Para llamar a esta API, debes autenticarte con credenciales autorizadas.

Para obtener las credenciales, puedes usar uno de los siguientes métodos:

Identidad de Google: permite a los usuarios iniciar sesión con su Google Cloud identidad. Usa esta opción si tus usuarios ya tienen acceso a Google Cloud con una identidad de Google.
Servicio de identidad de GKE, que permite a los usuarios iniciar sesión con OpenID Connect (OIDC) o AWS IAM.

El servicio de identidad de GKE te permite usar proveedores de identidades como Okta, Servicios de federación de Active Directory (ADFS) o cualquier proveedor de identidades compatible con OIDC.

Autorización

GKE en AWS tiene dos métodos para controlar el acceso: la API multinube de GKE y el control de acceso basado en roles (RBAC). En esta sección se describen las diferencias entre estos métodos.

Lo más recomendable es adoptar un enfoque por capas para proteger tus clústeres y cargas de trabajo. Puedes aplicar el principio de mínimos accesos al nivel de acceso que proporciones a tus usuarios y cargas de trabajo. Es posible que tengas que hacer concesiones para conseguir el nivel adecuado de flexibilidad y seguridad.

Control de acceso a la API de GKE Multi-cloud

La API multinube de GKE permite a los administradores de clústeres crear, actualizar y eliminar clústeres y grupos de nodos. Los permisos de la API se gestionan con Gestión de Identidades y Accesos (IAM). Para usar la API, los usuarios deben tener los permisos adecuados. Para consultar los permisos necesarios para cada operación, consulta Roles y permisos de la API. Gestión de identidades y accesos te permite definir roles y asignarlos a principales. Un rol es un conjunto de permisos que, cuando se asigna a una entidad principal, controla el acceso a uno o varios Google Cloud recursos.

Cuando creas un clúster o un grupo de nodos en una organización, una carpeta o un proyecto, los usuarios con los permisos adecuados en esa organización, carpeta o proyecto pueden modificarlo. Por ejemplo, si le das a un usuario permiso para eliminar clústeres a nivel de proyecto, podrá eliminar cualquier clúster de ese proyecto.Google Cloud Para obtener más información, consulta la Google Cloud jerarquía de recursos y cómo crear políticas de IAM.

Control de acceso a la API de Kubernetes

La API de Kubernetes te permite gestionar objetos de Kubernetes. Para gestionar el control de acceso en la API de Kubernetes, se usa el control de acceso basado en roles (RBAC). Para obtener más información, consulta el artículo sobre cómo configurar el control de acceso basado en roles en la documentación de GKE.

Acceso de administrador

Cuando usas la CLI de gcloud para crear un clúster, la API Multi-Cloud de GKE añade tu cuenta de usuario como administrador y crea las políticas de RBAC adecuadas que te conceden acceso administrativo completo al clúster. Para configurar diferentes usuarios, pasa la marca --admin-users cuando crees o actualices un clúster. Cuando usas la marca --admin-users, debes incluir a todos los usuarios que puedan administrar el clúster. La CLI de gcloud no incluye al usuario que crea el clúster.

También puedes añadir usuarios administradores mediante la Google Cloud consola. Para obtener más información, consulta Actualizar un clúster.

Para ver la configuración de acceso de tu clúster, ejecuta el siguiente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Además de las políticas de control de acceso basado en roles para acceder al servidor de la API de Kubernetes, si un usuario administrador no es propietario del proyecto, debes concederle roles de gestión de identidades y accesos específicos que le permitan autenticarse con su identidad de Google. Para obtener más información sobre cómo conectarse al clúster, consulte Conectarse y autenticarse en su clúster.

Siguientes pasos

Para configurar OIDC, consulta Gestionar la identidad con GKE Identity Service.
Conéctate y autentícate en tu clúster.