GKE en AWS admite OpenID Connect (OIDC) y AWS IAM como un mecanismo de autenticación para interactuar con el servidor de API de Kubernetes de un clúster con GKE Identity Service. GKE Identity Service es un servicio de autenticación que te permite usar las soluciones de identidad existentes para la autenticación en varios entornos. Los usuarios pueden acceder a los clústeres de GKE y usarlos desde la línea de comandos o desde la consola de Google Cloud, todo con tu proveedor de identidad existente.
Para obtener una descripción general de cómo funciona GKE Identity Service, consulta Introducción a GKE Identity Service.
Si ya usas o quieres usar las identidades de Google a fin de acceder a tus clústeres de GKE, te recomendamos usar el comando gcloud containers aws clusters get-credentials
para la autenticación. Obtén más información en Conéctate y autentícate en tu clúster.
Autenticación de OpenID Connect
Antes de comenzar
Para usar la autenticación de OIDC, los usuarios deben poder conectarse al plano de control del clúster. Consulta Conéctate al plano de control de tu clúster.
Para autenticarte a través de la consola de Google Cloud, debes registrar cada clúster que desees configurar con la flota de tu proyecto. En GKE on AWS, esto es automático una vez que creaste un grupo de nodos.
Para permitir que los usuarios se autentiquen a través de la consola de Google Cloud, asegúrate de que todos los clústeres que desees configurar estén registrados en tu flota de proyectos. En GKE on AWS, esto es automático una vez que creaste un grupo de nodos.
Proceso y opciones de configuración
Registra GKE Identity Service como cliente con tu proveedor de OIDC mediante las instrucciones que se indican en Configura proveedores para GKE Identity Service.
Elige entre las siguientes opciones de configuración del clúster:
Configura tus clústeres a nivel de la flota mediante las instrucciones en Configura clústeres para GKE Identity Service a nivel de flota. Con esta opción, Google Cloud administra la configuración de autenticación de forma centralizada.
Configurar los clústeres de forma individual mediante las instrucciones en Configura clústeres para GKE Identity Service con OIDC.
Configura el acceso de usuarios a tus clústeres, incluido el control de acceso basado en funciones (RBAC), mediante las instrucciones de Configura el acceso de usuarios a GKE Identity Service.
Accede a clústeres
Después de configurar GKE Identity Service en un clúster, los usuarios pueden acceder a los clústeres mediante la línea de comandos o la consola de Google Cloud.
- Obtén información para acceder a clústeres registrados con tu ID de OIDC en Accede a clústeres mediante GKE Identity Service.
- Obtén información para acceder a los clústeres desde la consola de Google Cloud en Accede a un clúster desde la consola de Google Cloud.
Autenticación de IAM de AWS
La asistencia de IAM de AWS en GKE en AWS usa GKE Identity Service.
Antes de comenzar
Para usar la autenticación de IAM de AWS, los usuarios deben poder conectarse al plano de control del clúster. Consulta Conéctate al plano de control de tu clúster.
Proceso y opciones de configuración
Si deseas configurar tu clúster a fin de permitir la autenticación de IAM de AWS para una región de AWS en particular, haz lo siguiente:
Edita el recurso
ClientConfig
en tu clúster:kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public
Reemplaza
KUBECONFIG_PATH
por la ruta de acceso al archivo kubeconfig de tu clúster, por ejemplo$HOME/.kube/config
.Tu editor de texto carga el recurso ClientConfig de tu clúster. Agrega el objeto
spec.authentication.aws
como se muestra a continuación. No modifiques ningún dato predeterminado que ya se haya escrito.apiVersion: authentication.gke.io/v2alpha1 kind: ClientConfig metadata: name: default namespace: kube-public spec: authentication: - name: NAME aws: region: AWS_REGION
Reemplaza lo siguiente:
NAME
: un nombre arbitrario de este método de autenticación, p. ej., “aws-iam”.AWS_REGION
: La región de AWS en la que se recupera la información del usuario. Debe coincidir con la región configurada en la CLI de AWS de tus usuarios.
Para permitir que los usuarios del clúster usen la IAM de AWS, sigue Configura el acceso de usuarios a Anthos Identity Service.
Accede a clústeres
Después de configurar GKE Identity Service en un clúster, los usuarios pueden acceder a los clústeres mediante la línea de comandos o la consola de Google Cloud.
Para obtener información sobre cómo acceder a clústeres registrados con tu identidad de IAM de AWS, consulta Accede a clústeres mediante el servicio de identidad de Anthos.