En esta página, se describe cómo GKE en AWS controla la autenticación de Google Cloud y de los usuarios en tus clústeres.
Cómo GKE en AWS se conecta a AWS
Si deseas obtener más información sobre cómo GKE en AWS usa los roles de IAM de AWS para conectarse a AWS, consulta los roles de IAM de AWS.
Autenticación
Autenticación de la API de GKE Multi-Cloud
Usa la API de GKE Multi-Cloud para crear, actualizar y borrar clústeres y grupos de nodos. Al igual que con otras API de Google Cloud, puedes usar esta API con REST, Google Cloud CLI o la consola de Google Cloud.
Para obtener más información, consulta la Descripción general de la autenticación de Google Cloud y la documentación de referencia de la API de GKE Multi-Cloud.
Autenticación de la API de Kubernetes
Puedes usar la herramienta de línea de comandos de kubectl
para realizar operaciones de clúster, como implementar una carga de trabajo y configurar un balanceador de cargas. La herramienta de kubectl
se conecta a la API de Kubernetes en el plano de control del clúster. Para llamar a esta API, debes autenticarte con las credenciales permitidas.
Para obtener credenciales, puedes usar uno de los siguientes métodos:
Google Identity, que permite a los usuarios acceder con su identidad de Google Cloud. Usa esta opción si tus usuarios ya tienen acceso a Google Cloud con Google Identity.
GKE Identity Service, que permite a los usuarios acceder mediante OpenID Connect (OIDC) o AWS IAM.
GKE Identity Service te permite usar proveedores de identidad, como Okta, Servicios de federación de Active Directory (ADFS) o cualquier proveedor de identidad compatible con OIDC.
Autorización
GKE en AWS tiene dos métodos para el control de acceso, la API de GKE Multi-Cloud y el control de acceso basado en roles (RBAC). En esta sección, se describen las diferencias entre estos métodos.
Es mejor adoptar un enfoque por capas para proteger los clústeres y las cargas de trabajo. Puedes aplicar el principio de privilegio mínimo al nivel de acceso que proporcionas a los usuarios y las cargas de trabajo. Es posible que debas realizar compensaciones para permitir el nivel adecuado de flexibilidad y seguridad.
Control de acceso a la API de GKE Multi-Cloud
La API de GKE Multi-Cloud permite a los administradores de clústeres crear, actualizar y borrar clústeres y grupos de nodos. Puedes administrar los permisos para la API con Identity and Access Management (IAM). Para usar la API, los usuarios deben tener los permisos correspondientes. Si deseas conocer los permisos necesarios para cada operación, consulta Funciones y permisos de la API. IAM te permite definir funciones y asignarlas a las principales. Una función es una colección de permisos, y cuando se le asigna a una principal, controla el acceso a uno o más recursos de Google Cloud.
Cuando creas un clúster o grupo de nodos en una organización, una carpeta o un proyecto, los usuarios con los permisos adecuados en tal organización, carpeta o proyecto pueden modificarlo. Por ejemplo, si otorgas a un usuario un permiso de eliminación de clústeres a nivel de proyecto de Google Cloud, ese usuario puede borrar cualquier clúster de ese proyecto. Para obtener más información, consulta Jerarquía de recursos de Google Cloud y Crea políticas de IAM.
Control de acceso en la API de Kubernetes
La API de Kubernetes te permite administrar objetos de Kubernetes. Para administrar el control de acceso en la API de Kubernetes, usa el control de acceso basado en funciones (RBAC). Para obtener más información, consulta Configura el control de acceso basado en funciones en la documentación de GKE.
Acceso de administrador
Cuando usas la gcloud CLI para crear un clúster, de forma predeterminada, la API de GKE Multi-Cloud agrega tu cuenta de usuario como administrador y crea las políticas de RBAC adecuadas que te otorgan acceso de administrador completo al clúster. Para configurar diferentes usuarios, pasa la marca --admin-users
cuando crees o actualices un clúster. Cuando usas la marca --admin-users
, debes incluir a todos los usuarios que puedan administrar el clúster. La gcloud CLI no incluye el usuario que crea el clúster.
También puedes agregar usuarios administradores con la consola de Google Cloud. Para obtener más información, consulta Actualiza tu clúster.
Para ver la configuración del acceso de tu clúster, ejecuta el siguiente comando:
kubectl describe clusterrolebinding gke-multicloud-cluster-admin
Además de las políticas de RBAC para acceder al servidor de la API de Kubernetes, si un usuario administrador no es propietario del proyecto, debes otorgar roles específicos de IAM que permitan a los usuarios administradores autenticarse con su identidad de Google. Si deseas obtener más información sobre cómo conectarte al clúster, consulta Conéctate y autentícate en tu clúster.
¿Qué sigue?
- Para configurar OIDC, consulta Administra la identidad con GKE Identity Service.
- Conéctate a tu clúster y autentícate en él.