Administra la identidad con GKE Identity Service

GKE en AWS admite OpenID Connect (OIDC) y AWS IAM como un mecanismo de autenticación para interactuar con el servidor de API de Kubernetes de un clúster con GKE Identity Service. GKE Identity Service es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en varios entornos. Los usuarios pueden acceder a los clústeres de GKE y usarlos desde la línea de comandos o desde la consola de Google Cloud, todo con tu proveedor de identidad existente.

Para obtener una descripción general de cómo funciona GKE Identity Service, consulta Introducción a GKE Identity Service.

Si ya usas o quieres usar las identidades de Google a fin de acceder a tus clústeres de GKE, te recomendamos usar el comando gcloud containers aws clusters get-credentials para la autenticación. Obtén más información en Conéctate y autentícate en tu clúster.

Autenticación de OpenID Connect

Antes de comenzar

  1. Para usar la autenticación de OIDC, los usuarios deben poder conectarse al plano de control del clúster. Consulta Conéctate al plano de control de tu clúster.

  2. Para autenticarte a través de la consola de Google Cloud, debes registrar cada clúster que desees configurar con la flota de tu proyecto. En GKE on AWS, esto es automático una vez que creaste un grupo de nodos.

  3. Para permitir que los usuarios se autentiquen a través de la consola de Google Cloud, asegúrate de que todos los clústeres que desees configurar estén registrados en tu flota de proyectos. En GKE on AWS, esto es automático una vez que creaste un grupo de nodos.

Proceso y opciones de configuración

  1. Registra GKE Identity Service como cliente con tu proveedor de OIDC mediante las instrucciones que se indican en Configura proveedores para GKE Identity Service.

  2. Elige entre las siguientes opciones de configuración del clúster:

  3. Configura el acceso de usuarios a tus clústeres, incluido el control de acceso basado en funciones (RBAC), mediante las instrucciones de Configura el acceso de usuarios a GKE Identity Service.

Accede a clústeres

Después de configurar GKE Identity Service en un clúster, los usuarios pueden acceder a los clústeres mediante la línea de comandos o la consola de Google Cloud.

Autenticación de IAM de AWS

La asistencia de IAM de AWS en GKE en AWS usa GKE Identity Service.

Antes de comenzar

Para usar la autenticación de IAM de AWS, los usuarios deben poder conectarse al plano de control del clúster. Consulta Conéctate al plano de control de tu clúster.

Proceso y opciones de configuración

Si deseas configurar tu clúster a fin de permitir la autenticación de IAM de AWS para una región de AWS en particular, haz lo siguiente:

  1. Edita el recurso ClientConfig en tu clúster:

    kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public
    

    Reemplaza KUBECONFIG_PATH por la ruta de acceso al archivo kubeconfig de tu clúster, por ejemplo $HOME/.kube/config.

    Tu editor de texto carga el recurso ClientConfig de tu clúster. Agrega el objeto spec.authentication.aws como se muestra a continuación. No modifiques ningún dato predeterminado que ya se haya escrito.

    apiVersion: authentication.gke.io/v2alpha1
    kind: ClientConfig
    metadata:
      name: default
      namespace: kube-public
    spec:
      authentication:
      - name: NAME
        aws:
          region: AWS_REGION
    

    Reemplaza lo siguiente:

    • NAME: un nombre arbitrario de este método de autenticación, p. ej., “aws-iam”.
    • AWS_REGION: La región de AWS en la que se recupera la información del usuario. Debe coincidir con la región configurada en la CLI de AWS de tus usuarios.
  2. Para permitir que los usuarios del clúster usen la IAM de AWS, sigue Configura el acceso de usuarios a Anthos Identity Service.

Accede a clústeres

Después de configurar GKE Identity Service en un clúster, los usuarios pueden acceder a los clústeres mediante la línea de comandos o la consola de Google Cloud.

Para obtener información sobre cómo acceder a clústeres registrados con tu identidad de IAM de AWS, consulta Accede a clústeres mediante el servicio de identidad de Anthos.