Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument wird beschrieben, wie Sie als Mitglied einer Google-Gruppe eine Verbindung zu GKE on AWS herstellen.
Die Verwendung von Google-Gruppen zum Gewähren des Clusterzugriffs ist effizienter als das Erstellen separater Autorisierungen für einzelne Nutzer. Angenommen, Sie möchten der Clusteradministratorgruppe 50 Nutzer, einer Bearbeitergruppe 75 Nutzer und einer Lesergruppe 100 Nutzer hinzufügen. Wenn Sie allen diesen Nutzern die Verbindung zu Ihrem Cluster ermöglichen möchten, müssen Sie RBAC-Regeln in der Kubernetes-Manifestdatei für 225 Nutzer erstellen. Wenn Sie den Zugriff auf Ihren Cluster mit Google-Gruppen aktivieren, sparen Sie jedoch Zeit, da Sie nur RBAC-Regeln für drei Google-Gruppen erstellen müssen.
Hinweise
Wenn Sie als Mitglied einer Google-Gruppe eine Verbindung zu Ihrem Cluster herstellen möchten, müssen folgende Voraussetzungen erfüllt sein:
Prüfen Sie, ob Sie die neueste Version des Google Cloud CLI haben. Informationen zum Aktualisieren der gcloud CLI finden Sie unter gcloud components update.
Verwenden Sie GKE on AWS Version 1.25 oder höher. Diese Version ist für den kubectl-Zugriff über das Connect-Gateway erforderlich.
Verbindung zum Cluster mit Google Groups herstellen
So autorisieren Sie Google-Gruppen, eine Verbindung zu GKE on AWS herzustellen:
Aktivieren Sie die connectgateway- und cloudresourcemanager-APIs mit dem folgenden Befehl:
Ersetzen Sie PROJECT_ID durch die ID Ihres AWS-Projekts.
Erstellen Sie eine Gruppe namens gke-security-groups als Gruppe in der Domain Ihres Projekts, falls sie noch nicht vorhanden ist.
Erstellen Sie eine oder mehrere Untergruppen innerhalb der Gruppe gke-security-groups für die Clusterauthentifizierung.
Fügen Sie den neu erstellten Untergruppen Nutzer hinzu.
Wenn Sie den kubectl-Zugriff über das Connect-Gateway verwenden möchten, müssen Sie Google-Gruppen IAM-Rollen zuweisen:
Wählen Sie eine geeignete Rolle für eine Gruppe aus. Diese Rolle bestimmt, wie die Gruppe mit dem Connect-Gateway interagiert. Die Rolle kann eine der folgenden sein: roles/gkehub.gatewayAdmin, roles/gkehub.gatewayEditor, roles/gkehub.gatewayReader.
Beachten Sie, dass Sie hier keine Berechtigungen für den Cluster gewähren. Dieser Schritt erfolgt später.
Hier legen Sie lediglich fest, wie Nutzer der Gruppe das Connect-Gateway bearbeiten können.)
Führen Sie den folgenden Befehl aus, um der Gruppe die Rolle zuzuweisen:
GROUP_NAME: Name der Gruppe, auf die Zugriff gewährt werden soll
DOMAIN: Ihre Google Workspace-Domain
GATEWAY_ROLE: die ausgewählte Rolle. Beispiel
roles/gkehub.gatewayAdmin, roles/gkehub.gatewayEditor oder
roles/gkehub.gatewayReader.
Definieren Sie in einem Kubernetes-Manifest die Berechtigungen, die jede Google-Gruppe für den Cluster hat. Das folgende Manifest gewährt beispielsweise der Google-Gruppe cluster-admin-team die Rolle des Clusteradministrators:
Speichern Sie das Manifest in einer Datei und wenden Sie es auf den Cluster an, indem Sie den folgenden Befehl ausführen:
kubectlapply-kubeconfig=KUBECONFIG_PATH-fFILENAME
Ersetzen Sie Folgendes:
KUBECONFIG_PATH: Pfad zur Datei kubeconfig
FILENAME: der Name der von Ihnen erstellten Manifestdatei.
Nachdem Sie diese Schritte ausgeführt haben, können Nutzer, die bestimmten Google-Gruppen angehören, eine Verbindung zum Cluster herstellen. Im angegebenen Beispiel können Nutzer, die zur Google-Gruppe cluster-admin-team gehören, als Administratoren eine Verbindung zum Cluster herstellen.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-31 (UTC)."],[],[],null,["# Connect Google groups to GKE on AWS\n\nThis document describes how you can connect to GKE on AWS as a member of a\n[Google group](/iam/docs/groups-in-cloud-console).\n\nUsing Google groups to grant cluster access is more efficient than creating\nseparate authorizations for individual users. For example, let's say you want\nto add 50 users to the cluster Administrator group, 75 users to an Editor group,\nand 100 users to a Reader group. Enabling all these users to connect to your\ncluster would require you to create RBAC rules in the Kubernetes manifest file\nfor 225 users. Enabling access to your cluster with Google groups, however\nsaves you time because you only need to create RBAC rules for three Google\ngroups.\n\nBefore you begin\n----------------\n\nTo connect to your cluster as a member of a Google group, you need to satisfy\nthe following prerequisites:\n\n1. Ensure that you have the latest version of the Google Cloud CLI. For\n information on updating gcloud CLI, see\n [`gcloud components update`](/sdk/gcloud/reference/components/update).\n\n2. Use GKE on AWS version 1.25 or above, which is required for `kubectl`\n access using connect gateway.\n\nConnect to your cluster with Google groups\n------------------------------------------\n\nTo authorize Google groups to connect to GKE on AWS, follow these\nsteps:\n\n1. Enable the `connectgateway` and `cloudresourcemanager` APIs\n with the following command:\n\n gcloud services enable --project=\u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e \\\n connectgateway.googleapis.com \\\n cloudresourcemanager.googleapis.com\n\n Replace \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e with the ID of your\n AWS project.\n2. Create a group called `gke-security-groups` as a group in your project's\n domain if it doesn't exist.\n\n3. Create one or more sub-groups within the `gke-security-groups` group for\n cluster authentication.\n\n4. Add users to the newly created sub-groups.\n\n5. For `kubectl` access using connect gateway, you need to grant\n IAM roles to Google groups:\n\n 1. Select an appropriate role for a group. This role determines how the\n group interacts with the connect gateway. The role can be\n one of the following: `roles/gkehub.gatewayAdmin`,\n `roles/gkehub.gatewayEditor`, `roles/gkehub.gatewayReader`.\n (Note that you're not granting\n permissions over the cluster here - that step comes later.\n Here, you're just determining how users of the group can manipulate\n the connect gateway.)\n\n 2. Run the following command to grant the role to the group:\n\n gcloud projects add-iam-policy-binding \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e \\\n --member=group:\u003cvar translate=\"no\"\u003eGROUP_NAME\u003c/var\u003e@\u003cvar translate=\"no\"\u003eDOMAIN\u003c/var\u003e \\\n --role=\u003cvar translate=\"no\"\u003eGATEWAY_ROLE\u003c/var\u003e\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003ePROJECT_ID\u003c/var\u003e: your Google project ID\n - \u003cvar translate=\"no\"\u003eGROUP_NAME\u003c/var\u003e: the name of the group to grant access to\n - \u003cvar translate=\"no\"\u003eDOMAIN\u003c/var\u003e: your Google Workspace domain\n - \u003cvar translate=\"no\"\u003eGATEWAY_ROLE\u003c/var\u003e: the selected role. For example `roles/gkehub.gatewayAdmin`, `roles/gkehub.gatewayEditor`, or `roles/gkehub.gatewayReader`.\n\n | **Note:** To grant `kubectl` access through a private endpoint, follow the preceding steps, but grant `roles/gkemulticloud.viewer` to the Google groups instead.\n6. In a Kubernetes manifest, define the permissions each Google group\n has on the cluster. For example, the following manifest grants the Google\n Group `cluster-admin-team` the role of cluster administrator:\n\n apiVersion: rbac.authorization.k8s.io/v1\n kind: ClusterRoleBinding\n metadata:\n name: gateway-cluster-admin-group\n subjects:\n - kind: Group\n name: cluster-admin-team@example.com\n roleRef:\n kind: ClusterRole\n name: cluster-admin\n apiGroup: rbac.authorization.k8s.io\n\n7. Save the manifest to a file and apply it to the cluster by running the\n following command:\n\n kubectl apply -kubeconfig=\u003cvar translate=\"no\"\u003eKUBECONFIG_PATH\u003c/var\u003e -f \u003cvar translate=\"no\"\u003eFILENAME\u003c/var\u003e\n\n Replace the following:\n - \u003cvar translate=\"no\"\u003eKUBECONFIG_PATH\u003c/var\u003e: the path to your `kubeconfig` file.\n - \u003cvar translate=\"no\"\u003eFILENAME\u003c/var\u003e: the name of the manifest file you created.\n\nOnce you've performed these steps, users belonging to certain Google groups can\nconnect to the cluster. In the given example, users belonging to the Google\ngroup `cluster-admin-team` can connect to the cluster as administrators."]]
