Halaman ini menjelaskan cara Google Cloud mengelola izin dan peran AWS Identity and Access Management (IAM) untuk GKE di AWS Anda.
GKE on AWS menggunakan AWS API untuk membuat resource seperti instance EC2, grup penskalaan otomatis, dan load balancer untuk GKE pada komponen AWS dan workload Anda. Anda harus memberi Google Cloud izin IAM AWS untuk membuat resource ini.
Cara GKE di AWS mengakses AWS API
GKE di AWS menggunakan gabungan identitas di AWS untuk mengelola akses terperinci ke akun AWS Anda. Saat GKE di AWS perlu mengambil tindakan untuk cluster Anda, GKE akan meminta token yang memiliki masa aktif singkat dari AWS. Peran GKE Multi-Cloud API menggunakan token ini untuk melakukan autentikasi ke AWS.
Agen layanan
Guna memberi Google Cloud akses untuk membuat, memperbarui, menghapus, dan mengelola cluster di akun AWS Anda, GKE di AWS membuat Agen layanan di project Google Cloud Anda. Agen layanan adalah akun layanan yang dikelola Google yang menggunakan peran AWS IAM GKE Multi-Cloud API.
Anda harus membuat peran IAM AWS untuk
agen layanan di setiap project Google Cloud tempat Anda mengelola cluster GKE.
Agen layanan menggunakan alamat email service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com
.
Untuk informasi selengkapnya tentang izin Google Cloud IAM, lihat Agen Layanan Multi-Cloud Anthos.
Izin IAM AWS untuk GKE di AWS
Anda dapat membuat peran yang menggunakan peran IAM AWS default, atau membuat kebijakan IAM AWS kustom Anda sendiri yang memenuhi persyaratan organisasi.
Gunakan kebijakan default
Kebijakan IAM AWS adalah kumpulan izin. Guna memberikan izin untuk membuat dan mengelola cluster, Anda harus terlebih dahulu membuat kebijakan IAM AWS untuk peran berikut:
- Peran agen layanan GKE Multi-Cloud API
- GKE Multi-Cloud API menggunakan peran AWS IAM ini untuk mengelola resource menggunakan AWS API. Peran ini digunakan oleh akun layanan yang dikelola Google yang dikenal sebagai agen layanan.
- Peran IAM AWS bidang kontrol
- Bidang kontrol cluster Anda menggunakan peran ini untuk mengontrol kumpulan node.
- Peran IAM AWS kumpulan node
- Bidang kontrol menggunakan peran ini untuk membuat VM node pool.
Untuk menggunakan peran IAM AWS yang disarankan untuk GKE di AWS guna mengelola cluster, lihat Membuat peran IAM AWS.
Membuat kebijakan IAM kustom
Untuk membatasi izin lebih lanjut, daripada menggunakan kebijakan yang disarankan, Anda dapat membuat kebijakan IAM AWS kustom yang mengizinkan GKE di AWS. Misalnya, Anda dapat membatasi izin ke resource dengan tag tertentu, atau resource di VPC AWS tertentu
Mengontrol akses dengan tag
Anda dapat membatasi kebijakan IAM AWS agar hanya mengizinkan tindakan pada sekumpulan resource yang terbatas, menggunakan tag AWS. Setiap peran dengan tag tersebut yang ditentukan dalam kolom kondisinya akan dibatasi untuk beroperasi pada resource dengan tag yang sama. Anda dapat menggunakannya untuk membatasi peran administratif agar dapat bertindak atas resource di cluster atau kumpulan node tertentu.
Untuk membatasi kebijakan IAM AWS agar hanya diterapkan ke resource dengan tag tertentu, sertakan nilai tag di kolom Condition
kebijakan, lalu teruskan nilai tag saat Anda membuat cluster dan kumpulan node. GKE di AWS menerapkan tag ini saat membuat resource.
Untuk mengetahui informasi lebih lanjut terkait tag, lihat Memberi tag pada resource AWS. Untuk informasi lebih lanjut tentang penggunaan tag dengan kebijakan AWS, lihat Mengontrol akses ke resource AWS.
Untuk mengetahui informasi selengkapnya tentang cara membuat resource cluster dengan tag tertentu, baca
dokumentasi referensi
gcloud container aws clusters create
dan
gcloud container aws node-pools create
.
Untuk mengetahui daftar izin spesifik yang diperlukan GKE di AWS untuk setiap kebijakan, lihat daftar peran IAM AWS.