Tentang peran IAM AWS

Halaman ini menjelaskan cara Google Cloud mengelola izin dan peran AWS Identity and Access Management (IAM) untuk GKE di AWS Anda.

GKE on AWS menggunakan AWS API untuk membuat resource seperti instance EC2, grup penskalaan otomatis, dan load balancer untuk GKE pada komponen AWS dan workload Anda. Anda harus memberi Google Cloud izin IAM AWS untuk membuat resource ini.

Cara GKE di AWS mengakses AWS API

GKE di AWS menggunakan gabungan identitas di AWS untuk mengelola akses terperinci ke akun AWS Anda. Saat GKE di AWS perlu mengambil tindakan untuk cluster Anda, GKE akan meminta token yang memiliki masa aktif singkat dari AWS. Peran GKE Multi-Cloud API menggunakan token ini untuk melakukan autentikasi ke AWS.

Agen layanan

Guna memberi Google Cloud akses untuk membuat, memperbarui, menghapus, dan mengelola cluster di akun AWS Anda, GKE di AWS membuat Agen layanan di project Google Cloud Anda. Agen layanan adalah akun layanan yang dikelola Google yang menggunakan peran AWS IAM GKE Multi-Cloud API. Anda harus membuat peran IAM AWS untuk agen layanan di setiap project Google Cloud tempat Anda mengelola cluster GKE. Agen layanan menggunakan alamat email service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com. Untuk informasi selengkapnya tentang izin Google Cloud IAM, lihat Agen Layanan Multi-Cloud Anthos.

Izin IAM AWS untuk GKE di AWS

Anda dapat membuat peran yang menggunakan peran IAM AWS default, atau membuat kebijakan IAM AWS kustom Anda sendiri yang memenuhi persyaratan organisasi.

Gunakan kebijakan default

Kebijakan IAM AWS adalah kumpulan izin. Guna memberikan izin untuk membuat dan mengelola cluster, Anda harus terlebih dahulu membuat kebijakan IAM AWS untuk peran berikut:

Peran agen layanan GKE Multi-Cloud API
GKE Multi-Cloud API menggunakan peran AWS IAM ini untuk mengelola resource menggunakan AWS API. Peran ini digunakan oleh akun layanan yang dikelola Google yang dikenal sebagai agen layanan.
Peran IAM AWS bidang kontrol
Bidang kontrol cluster Anda menggunakan peran ini untuk mengontrol kumpulan node.
Peran IAM AWS kumpulan node
Bidang kontrol menggunakan peran ini untuk membuat VM node pool.

Untuk menggunakan peran IAM AWS yang disarankan untuk GKE di AWS guna mengelola cluster, lihat Membuat peran IAM AWS.

Membuat kebijakan IAM kustom

Untuk membatasi izin lebih lanjut, daripada menggunakan kebijakan yang disarankan, Anda dapat membuat kebijakan IAM AWS kustom yang mengizinkan GKE di AWS. Misalnya, Anda dapat membatasi izin ke resource dengan tag tertentu, atau resource di VPC AWS tertentu

Mengontrol akses dengan tag

Anda dapat membatasi kebijakan IAM AWS agar hanya mengizinkan tindakan pada sekumpulan resource yang terbatas, menggunakan tag AWS. Setiap peran dengan tag tersebut yang ditentukan dalam kolom kondisinya akan dibatasi untuk beroperasi pada resource dengan tag yang sama. Anda dapat menggunakannya untuk membatasi peran administratif agar dapat bertindak atas resource di cluster atau kumpulan node tertentu.

Untuk membatasi kebijakan IAM AWS agar hanya diterapkan ke resource dengan tag tertentu, sertakan nilai tag di kolom Condition kebijakan, lalu teruskan nilai tag saat Anda membuat cluster dan kumpulan node. GKE di AWS menerapkan tag ini saat membuat resource.

Untuk mengetahui informasi lebih lanjut terkait tag, lihat Memberi tag pada resource AWS. Untuk informasi lebih lanjut tentang penggunaan tag dengan kebijakan AWS, lihat Mengontrol akses ke resource AWS.

Untuk mengetahui informasi selengkapnya tentang cara membuat resource cluster dengan tag tertentu, baca dokumentasi referensi gcloud container aws clusters create dan gcloud container aws node-pools create.

Untuk mengetahui daftar izin spesifik yang diperlukan GKE di AWS untuk setiap kebijakan, lihat daftar peran IAM AWS.