Ringkasan autentikasi

Halaman ini menjelaskan cara GKE di AWS menangani autentikasi ke Google Cloud dan autentikasi pengguna ke cluster Anda.

Cara GKE di AWS terhubung ke AWS

Untuk mengetahui informasi selengkapnya tentang cara GKE di AWS menggunakan peran IAM AWS untuk terhubung ke AWS, lihat peran IAM AWS.

Authentication

Autentikasi GKE Multi-Cloud API

Anda dapat menggunakan GKE Multi-Cloud API untuk membuat, mengupdate, serta menghapus cluster dan node pool. Seperti Google Cloud API lainnya, Anda dapat menggunakan API ini dengan REST, Google Cloud CLI, atau Konsol Google Cloud.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan autentikasi Google Cloud dan dokumentasi referensi GKE Multi-Cloud API.

Autentikasi Kubernetes API

Anda dapat menggunakan alat command line kubectl untuk menjalankan operasi cluster seperti men-deploy beban kerja dan mengonfigurasi load balancer. Alat kubectl terhubung ke Kubernetes API di bidang kontrol cluster Anda. Untuk memanggil API ini, Anda perlu melakukan autentikasi dengan kredensial yang diotorisasi.

Untuk mendapatkan kredensial, Anda dapat menggunakan salah satu metode berikut:

  • Google Identity, yang memungkinkan pengguna login menggunakan Google Cloud Identity. Gunakan opsi ini jika pengguna Anda sudah memiliki akses ke Google Cloud dengan Google Identity.

  • GKE Identity Service, yang memungkinkan pengguna login menggunakan OpenID Connect (OIDC) atau AWS IAM.

GKE Identity Service memungkinkan Anda menggunakan penyedia identitas seperti Okta, Active Directory Federation Services (ADFS), atau penyedia identitas apa pun yang mematuhi OIDC.

Otorisasi

GKE di AWS memiliki dua metode untuk kontrol akses, GKE Multi-Cloud API dan role-based access control (RBAC). Bagian ini menjelaskan perbedaan antara metode tersebut.

Sebaiknya ambil pendekatan berlapis untuk melindungi cluster dan workload. Anda dapat menerapkan prinsip hak istimewa terendah ke tingkat akses yang Anda berikan untuk pengguna dan workload Anda. Anda mungkin perlu melakukan kompromi untuk memungkinkan tingkat fleksibilitas dan keamanan yang tepat.

Kontrol akses GKE Multi-Cloud API

GKE Multi-Cloud API memungkinkan administrator cluster membuat, mengupdate, serta menghapus cluster dan node pool. Anda dapat mengelola izin untuk API dengan Identity and Access Management (IAM). Untuk menggunakan API, pengguna harus memiliki izin yang sesuai. Untuk izin yang diperlukan bagi setiap operasi, lihat Peran dan izin API. IAM memungkinkan Anda menentukan peran dan menetapkannya ke akun utama. Peran adalah kumpulan izin, dan saat ditetapkan ke akun utama, mengontrol akses ke satu atau beberapa resource Google Cloud.

Saat Anda membuat cluster atau kumpulan node dalam organisasi, folder, atau project, pengguna dengan izin yang sesuai di organisasi, folder, atau project tersebut dapat mengubahnya. Misalnya, jika Anda memberi pengguna izin penghapusan cluster di level project Google Cloud, pengguna tersebut dapat menghapus cluster apa pun dalam project tersebut. Untuk mengetahui informasi selengkapnya, lihat Hierarki resource Google Cloud dan Membuat kebijakan IAM.

Kontrol akses Kubernetes API

Kubernetes API dapat digunakan untuk mengelola objek Kubernetes. Untuk mengelola kontrol akses di Kubernetes API, gunakan kontrol akses berbasis peran (RBAC). Untuk mengetahui informasi selengkapnya, baca Mengonfigurasi kontrol akses berbasis peran dalam dokumentasi GKE.

Akses administrator

Saat Anda menggunakan gcloud CLI untuk membuat cluster, secara default GKE Multi-Cloud API akan menambahkan akun pengguna Anda sebagai administrator dan membuat kebijakan RBAC yang sesuai, sehingga memberi Anda akses administratif penuh ke cluster tersebut. Untuk mengonfigurasi pengguna yang berbeda, teruskan tanda --admin-users saat Anda membuat atau mengupdate cluster. Saat menggunakan flag --admin-users, Anda harus menyertakan semua pengguna yang dapat mengelola cluster. Gcloud CLI tidak menyertakan pengguna yang membuat cluster.

Anda juga dapat menambahkan pengguna admin menggunakan Konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Mengupdate cluster.

Untuk melihat konfigurasi akses cluster Anda, jalankan perintah berikut:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Selain kebijakan RBAC untuk mengakses server Kubernetes API, jika pengguna admin bukan pemilik project, Anda perlu memberikan peran IAM tertentu agar pengguna admin dapat melakukan autentikasi menggunakan identitas Google mereka. Untuk mengetahui informasi lebih lanjut tentang cara menghubungkan ke cluster, baca artikel Menghubungkan dan melakukan autentikasi ke cluster.

Langkah selanjutnya