Gérer l'identité avec GKE Identity Service

GKE sur AWS est compatible avec OpenID Connect (OIDC) et AWS IAM comme mécanismes d'authentification pour interagir avec l'API Kubernetes d'un cluster. à l'aide d'Anthos Identity Service. GKE Identity Service est un service d'authentification qui vous permet d'exploiter vos solutions existantes pour l'authentification dans plusieurs environnements Anthos. Les utilisateurs peuvent se connecter à vos clusters GKE depuis la ligne de commande ou depuis la console Google Cloud, en se servant de votre fournisseur d'identité existant.

Pour obtenir une présentation du fonctionnement de GKE Identity Service, consultez la page Présentation de GKE Identity Service

Si vous utilisez déjà ou souhaitez utiliser des identités Google pour vous connecter à vos clusters GKE, nous vous recommandons d'utiliser la commande gcloud containers aws clusters get-credentials pour l'authentification. Pour en savoir plus, consultez la page Se connecter au cluster et s'authentifier.

Authentification OpenID Connect

Avant de commencer

1. Pour utiliser l'authentification OIDC, les utilisateurs doivent pouvoir se connecter au plan de contrôle du cluster. Consultez la section Se connecter au plan de contrôle de votre cluster.

2. Pour vous authentifier via la console Google Cloud, vous devez enregistrer chaque cluster que vous souhaitez configurer avec votre parc de projets. Pour GKE sur AWS, cette étape est automatique dès que vous avez créé un pool de nœuds.

3. Pour autoriser les utilisateurs à s'authentifier via la console Google Cloud, assurez-vous que tous les clusters que vous souhaitez configurer sont enregistrés auprès de votre parc de projets. Pour GKE sur AWS, cette opération est automatique une fois que vous avez créé un pool de nœuds.

Processus de configuration et options associées

1. Enregistrez GKE Identity Service en tant que client auprès de votre fournisseur OIDC en suivant les instructions de la section Configurer des fournisseurs pour GKE Identity Service.

2. Choisissez l'une des options de configuration de cluster suivantes :

   • Configurez vos clusters au niveau du parc en suivant les instructions de la section Configurer des clusters pour GKE Identity Service au niveau du parc. Avec cette option, votre configuration d'authentification est gérée de manière centralisée par Google Cloud.

   • Configurez les clusters individuellement en suivant les instructions de la page Configurer des clusters pour GKE Identity Service avec OIDC.

3. Configurez l'accès des utilisateurs à vos clusters, y compris le contrôle des accès basé sur les rôles (RBAC), en suivant les instructions de la page Configurer l'accès des utilisateurs pour GKE Identity Service.

Accéder aux clusters

Après avoir configuré GKE Identity Service sur un cluster, les utilisateurs peuvent se connecter à ces clusters à l'aide de la ligne de commande ou de la console Google Cloud.

• Pour savoir comment vous connecter aux clusters enregistrés avec votre ID OIDC, consultez la section Accéder aux clusters à l'aide de GKE Identity Service.
• Pour savoir comment vous connecter aux clusters depuis la console Google Cloud, consultez la section Se connecter à un cluster depuis la console Google Cloud.

Authentification AWS IAM

La compatibilité d'AWS IAM avec GKE sur AWS utilise GKE Identity Service.

Avant de commencer

Pour utiliser l'authentification AWS IAM, les utilisateurs doivent pouvoir se connecter au plan de contrôle du cluster. Consultez la section Se connecter au plan de contrôle de votre cluster.

Processus de configuration et options associées

Pour configurer votre cluster afin d'autoriser l'authentification AWS IAM pour une région AWS particulière, procédez comme suit :

1. Modifiez la ressource ClientConfig sur votre cluster :

   kubectl --kubeconfig=KUBECONFIG_PATH edit ClientConfigs default -n kube-public
   

   Remplacez KUBECONFIG_PATH par le chemin d'accès au fichier kubeconfig de votre cluster, par exemple $HOME/.kube/config.

   Un éditeur de texte charge la ressource ClientConfig de votre cluster. Ajoutez l'objet spec.authentication.aws comme indiqué ci-dessous. Ne modifiez aucune donnée par défaut déjà écrite.

   apiVersion: authentication.gke.io/v2alpha1
   kind: ClientConfig
   metadata:
     name: default
     namespace: kube-public
   spec:
     authentication:
     - name: NAME
       aws:
         region: AWS_REGION
   

   Remplacez les éléments suivants :

   • NAME : nom arbitraire de cette méthode d'authentification, par exemple "aws-iam"
   • AWS_REGION : région AWS dans laquelle les informations utilisateur sont récupérées. Elle doit correspondre à la région configurée sur la CLI AWS de vos utilisateurs.

2. Pour permettre aux utilisateurs de votre cluster d'utiliser AWS IAM, consultez la page Configurer l'accès des utilisateurs pour GKE Identity Service.

Accéder aux clusters

Après avoir configuré GKE Identity Service sur un cluster, les utilisateurs peuvent se connecter à ces clusters à l'aide de la ligne de commande ou de la console Google Cloud.

Pour savoir comment vous connecter aux clusters enregistrés avec votre identité AWS IAM, consultez la page Accéder aux clusters à l'aide de GKE Identity Service.