Sobre os papéis do IAM da AWS

Nesta página, descrevemos como o Google Cloud gerencia as permissões e os papéis do Identity and Access Management (IAM) da AWS para o GKE na AWS.

O GKE na AWS usa a API AWS para criar recursos, como instâncias do EC2, grupos de escalonamento automático e balanceadores de carga para componentes do GKE na AWS e suas cargas de trabalho. Forneça ao Google Cloud permissões do IAM da AWS para criar esses recursos.

Como o GKE na AWS acessa a API AWS

O GKE na AWS usa a federação de identidades na AWS para gerenciar o acesso detalhado à sua conta da AWS. Quando o GKE na AWS precisa executar uma ação no cluster, ele solicita um token de curta duração da AWS. O papel da API GKE Multi-Cloud usa esse token para autenticação na AWS.

Agentes de serviço

Para conceder ao Google Cloud acesso para criar, atualizar, excluir e gerenciar clusters na sua conta da AWS, o GKE na AWS cria um agente de serviço no seu projeto do Google Cloud. O agente de serviço é uma conta de serviço gerenciada pelo Google que usa o papel do IAM da AWS da API GKE Multi-Cloud. É necessário criar um papel do IAM da AWS para o agente de serviço em cada projeto do Google Cloud em que você gerencia clusters do GKE. O agente de serviço usa o endereço de e-mail service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com. Para mais informações sobre as permissões do IAM do Google Cloud, consulte Agente de serviço do Anthos Multi-Cloud.

Permissões do IAM da AWS para o GKE na AWS

É possível criar papéis que usem os papéis padrão do IAM da AWS ou suas próprias políticas personalizadas do IAM para que atendam aos requisitos da organização.

Usar políticas padrão

Uma política de IAM da AWS é um conjunto de permissões. Para conceder permissões para criar e gerenciar clusters, primeiro crie políticas do IAM da AWS para os seguintes papéis:

Papel de agente de serviço da API GKE Multi-Cloud
A API GKE Multi-Cloud usa esse papel do IAM da AWS para gerenciar recursos usando as APIs da AWS. Esse papel é usado por uma conta de serviço gerenciada pelo Google conhecida como agente de serviço.
Papel do IAM do AWS no plano de controle
O plano de controle do cluster usa esse papel para controlar os pools de nós.
Papel do IAM do AWS do pool de nós
O plano de controle usa esse papel para criar VMs do pool de nós.

Para usar os papéis sugeridos do IAM da AWS para o GKE na AWS a fim de gerenciar clusters, consulte Criar papéis de IAM da AWS.

Criar políticas personalizadas do IAM

Para restringir ainda mais as permissões, em vez de usar as políticas sugeridas, crie políticas personalizadas do IAM da AWS que permitam o GKE na AWS. Por exemplo, é possível restringir permissões a recursos com uma determinada tag ou em uma VPC específica da AWS.

Como controlar o acesso com tags

É possível restringir as políticas do IAM da AWS para permitir ações apenas em um conjunto limitado de recursos, usando tags da AWS. Qualquer papel com essa tag especificada no campo de condição será restrito a operar em recursos com a mesma tag. É possível usar isso para restringir papéis administrativos à ação em recursos em um cluster ou pool de nós específico.

Para restringir uma política do IAM da AWS para que seja aplicada somente a recursos com uma tag específica, inclua o valor da tag no campo Condition da política. Em seguida, transmita o valor da tag ao criar o cluster e os pools de nós. O GKE na AWS aplica essa tag quando cria recursos.

Para mais informações sobre tags, consulte Recurso de inclusão de tag da AWS. Para mais informações sobre o uso de tags com uma política da AWS, consulte Como controlar o acesso aos recursos da AWS.

Para mais informações sobre como criar recursos de cluster com uma tag específica, consulte a documentação de referência de gcloud container aws clusters create e gcloud container aws node-pools create. de dados.

Para ver uma lista de permissões específicas que o GKE na AWS precisa para cada política, consulte a lista de papéis do IAM da AWS.