Halaman ini menjelaskan cara GKE di AWS menangani autentikasi ke Google Cloud dan autentikasi pengguna ke cluster Anda.
Cara GKE di AWS terhubung ke AWS
Untuk mengetahui informasi selengkapnya tentang cara GKE di AWS menggunakan peran IAM AWS untuk terhubung ke AWS, lihat peran IAM AWS.
Authentication
Autentikasi GKE Multi-Cloud API
Anda dapat menggunakan GKE Multi-Cloud API untuk membuat, mengupdate, serta menghapus cluster dan node pool. Seperti Google Cloud API lainnya, Anda dapat menggunakan API ini dengan REST, Google Cloud CLI, atau Konsol Google Cloud.
Untuk mengetahui informasi selengkapnya, lihat Ringkasan autentikasi Google Cloud dan dokumentasi referensi GKE Multi-Cloud API.
Autentikasi Kubernetes API
Anda dapat menggunakan alat command line kubectl
untuk menjalankan operasi cluster seperti men-deploy beban kerja dan mengonfigurasi load balancer. Alat kubectl
terhubung ke Kubernetes API di bidang kontrol cluster Anda. Untuk memanggil API ini, Anda perlu melakukan autentikasi dengan kredensial yang diotorisasi.
Untuk mendapatkan kredensial, Anda dapat menggunakan salah satu metode berikut:
Google Identity, yang memungkinkan pengguna login menggunakan Google Cloud Identity. Gunakan opsi ini jika pengguna Anda sudah memiliki akses ke Google Cloud dengan Google Identity.
GKE Identity Service, yang memungkinkan pengguna login menggunakan OpenID Connect (OIDC) atau AWS IAM.
GKE Identity Service memungkinkan Anda menggunakan penyedia identitas seperti Okta, Active Directory Federation Services (ADFS), atau penyedia identitas apa pun yang mematuhi OIDC.
Otorisasi
GKE di AWS memiliki dua metode untuk kontrol akses, GKE Multi-Cloud API dan role-based access control (RBAC). Bagian ini menjelaskan perbedaan antara metode tersebut.
Sebaiknya ambil pendekatan berlapis untuk melindungi cluster dan workload. Anda dapat menerapkan prinsip hak istimewa terendah ke tingkat akses yang Anda berikan untuk pengguna dan workload Anda. Anda mungkin perlu melakukan kompromi untuk memungkinkan tingkat fleksibilitas dan keamanan yang tepat.
Kontrol akses GKE Multi-Cloud API
GKE Multi-Cloud API memungkinkan administrator cluster membuat, mengupdate, serta menghapus cluster dan node pool. Anda dapat mengelola izin untuk API dengan Identity and Access Management (IAM). Untuk menggunakan API, pengguna harus memiliki izin yang sesuai. Untuk izin yang diperlukan bagi setiap operasi, lihat Peran dan izin API. IAM memungkinkan Anda menentukan peran dan menetapkannya ke akun utama. Peran adalah kumpulan izin, dan saat ditetapkan ke akun utama, mengontrol akses ke satu atau beberapa resource Google Cloud.
Saat Anda membuat cluster atau kumpulan node dalam organisasi, folder, atau project, pengguna dengan izin yang sesuai di organisasi, folder, atau project tersebut dapat mengubahnya. Misalnya, jika Anda memberi pengguna izin penghapusan cluster di level project Google Cloud, pengguna tersebut dapat menghapus cluster apa pun dalam project tersebut. Untuk mengetahui informasi selengkapnya, lihat Hierarki resource Google Cloud dan Membuat kebijakan IAM.
Kontrol akses Kubernetes API
Kubernetes API dapat digunakan untuk mengelola objek Kubernetes. Untuk mengelola kontrol akses di Kubernetes API, gunakan kontrol akses berbasis peran (RBAC). Untuk mengetahui informasi selengkapnya, baca Mengonfigurasi kontrol akses berbasis peran dalam dokumentasi GKE.
Akses administrator
Saat Anda menggunakan gcloud CLI untuk membuat cluster, secara default GKE Multi-Cloud API akan menambahkan akun pengguna Anda sebagai administrator dan membuat kebijakan RBAC yang sesuai, sehingga memberi Anda akses administratif penuh ke cluster tersebut. Untuk mengonfigurasi pengguna yang berbeda, teruskan tanda
--admin-users
saat Anda membuat atau mengupdate cluster. Saat menggunakan flag --admin-users
, Anda harus menyertakan semua pengguna yang dapat mengelola cluster. Gcloud CLI tidak menyertakan pengguna yang membuat cluster.
Anda juga dapat menambahkan pengguna admin menggunakan Konsol Google Cloud. Untuk mengetahui informasi selengkapnya, lihat Mengupdate cluster.
Untuk melihat konfigurasi akses cluster Anda, jalankan perintah berikut:
kubectl describe clusterrolebinding gke-multicloud-cluster-admin
Selain kebijakan RBAC untuk mengakses server Kubernetes API, jika pengguna admin bukan pemilik project, Anda perlu memberikan peran IAM tertentu agar pengguna admin dapat melakukan autentikasi menggunakan identitas Google mereka. Untuk mengetahui informasi lebih lanjut tentang cara menghubungkan ke cluster, baca artikel Menghubungkan dan melakukan autentikasi ke cluster.
Langkah selanjutnya
- Untuk menyiapkan OIDC, lihat Mengelola identitas dengan GKE Identity Service.
- Hubungkan dan lakukan autentikasi ke cluster Anda.