O produto descrito nesta documentação, GKE na AWS, agora está em modo de manutenção e será encerrado em 17 de março de 2027.

Esta página foi traduzida pela API Cloud Translation.

Vista geral da autenticação

Esta página descreve como o GKE on AWS processa a autenticação para Google Cloud e a autenticação de utilizadores para os seus clusters.

Como o GKE no AWS se liga ao AWS

Para mais informações sobre como o GKE no AWS usa funções de IAM do AWS para se ligar ao AWS, consulte Funções de IAM do AWS.

Autenticação

Autenticação da API GKE Multi-Cloud

Usa a API GKE Multi-Cloud para criar, atualizar e eliminar clusters e node pools. Tal como com outras Google Cloud APIs, pode usar esta API com REST, a Google Cloud CLI ou a Google Cloud consola.

Para mais informações, consulte a Google Cloud vista geral da autenticação e a documentação de referência da API GKE Multi-Cloud.

Autenticação da API Kubernetes

Pode usar a ferramenta de linha de comandos kubectl para realizar operações de cluster, como implementar uma carga de trabalho e configurar um equilibrador de carga. A ferramenta kubectl liga-se à API Kubernetes no plano de controlo do seu cluster. Para chamar esta API, tem de se autenticar com credenciais autorizadas.

Para obter credenciais, pode usar um dos seguintes métodos:

Identidade Google, que permite aos utilizadores iniciar sessão com a respetiva Google Cloud identidade. Use esta opção se os seus utilizadores já tiverem acesso a Google Cloud com uma identidade Google.
GKE Identity Service, que permite aos utilizadores iniciar sessão através do OpenID Connect (OIDC) ou do AWS IAM.

O GKE Identity Service permite-lhe usar fornecedores de identidade como o Okta, Active Directory Federation Services (ADFS), ou qualquer fornecedor de identidade compatível com OIDC.

Autorização

O GKE na AWS tem dois métodos para controlo de acesso: a API GKE Multi-Cloud e o controlo de acesso baseado em funções (CABF). Esta secção descreve as diferenças entre estes métodos.

É melhor adotar uma abordagem em camadas para proteger os seus clusters e cargas de trabalho. Pode aplicar o princípio do menor privilégio ao nível de acesso que fornece aos seus utilizadores e cargas de trabalho. Pode ter de fazer concessões para permitir o nível certo de flexibilidade e segurança.

Controlo de acesso à API GKE Multi-Cloud

A API GKE Multi-Cloud permite que os administradores de clusters criem, atualizem e eliminem clusters e node pools. Faz a gestão das autorizações da API com a gestão de identidade e de acesso (IAM). Para usar a API, os utilizadores têm de ter as autorizações adequadas. Para ver as autorizações necessárias para cada operação, consulte Funções e autorizações da API. O IAM permite-lhe definir funções e atribuí-las a diretores. Uma função é uma coleção de autorizações e, quando atribuída a um principal, controla o acesso a um ou mais Google Cloud recursos.

Quando cria um cluster ou um conjunto de nós numa organização, numa pasta ou num projeto, os utilizadores com as autorizações adequadas nessa organização, pasta ou projeto podem modificá-lo. Por exemplo, se conceder a um utilizador uma autorização de eliminação de clusters ao nível do projeto, esse utilizador pode eliminar qualquer cluster nesse projeto.Google Cloud Para mais informações, consulte a Google Cloud hierarquia de recursos e como criar políticas de IAM.

Controlo de acesso à API Kubernetes

A API Kubernetes permite-lhe gerir objetos Kubernetes. Para gerir o controlo de acesso na API Kubernetes, usa o controlo de acesso baseado em funções (CABF). Para mais informações, consulte o artigo Configurar o controlo de acesso baseado em funções na documentação do GKE.

Acesso de administrador

Quando usa a CLI gcloud para criar um cluster, por predefinição, a API GKE Multi-Cloud adiciona a sua conta de utilizador como administrador e cria políticas RBAC adequadas que lhe concedem acesso administrativo total ao cluster. Para configurar diferentes utilizadores, transmita a flag --admin-users quando criar ou atualizar um cluster. Quando usa a flag --admin-users, tem de incluir todos os utilizadores que podem administrar o cluster. A CLI gcloud não inclui o utilizador que cria o cluster.

Também pode adicionar utilizadores administradores através da Google Cloud consola. Para mais informações, consulte Atualize o seu cluster.

Para ver a configuração do acesso do cluster, execute o seguinte comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Além das políticas de RBAC para aceder ao servidor da API Kubernetes, se um utilizador administrador não for proprietário do projeto, tem de conceder funções específicas do IAM que permitam aos utilizadores administradores autenticarem-se através da respetiva identidade Google. Para mais informações sobre como estabelecer ligação ao cluster, consulte o artigo Estabeleça ligação e autentique-se no seu cluster.

O que se segue?

Para configurar o OIDC, consulte o artigo Faça a gestão da identidade com o serviço de identidade do GKE.
Ligue-se e autentique-se no seu cluster.