The product described by this documentation, Anthos Clusters on AWS (previous generation), is now in maintenance mode. All new installs must use the current generation product, Anthos clusters on AWS.

Autenticação

O GKE na AWS é compatível com os seguintes métodos de autenticação:

Conectar
OpenID Connect (OIDC)

Conectar

Para fazer login usando o console do Google Cloud com o Connect, o GKE na AWS pode usar o token do portador da conta de serviço do Kubernetes. Para mais informações, consulte Como fazer login em um cluster do Console do Google Cloud.

O servidor da API Kubernetes e o token de ID

Após a autenticação com o cluster, é possível interagir usando a kubectl CLI da CLI gcloud. Quando kubectl chama o servidor da API Kubernetes em nome do usuário, o servidor da API verifica o token usando o certificado público do provedor OpenID. Em seguida, o servidor da API analisa o token para saber a identidade do usuário e os grupos de segurança dele.

O servidor da API determina se o usuário está autorizado a fazer essa chamada, comparando os grupos de segurança do usuário com a política de controle de acesso baseado em papéis (RBAC) do cluster.

OIDC

O GKE na AWS é compatível com a autenticação OIDC com o Serviço de identidade do GKE. O GKE Identity Service é compatível com muitos provedores de identidade. Para mais informações, consulte Provedores de identidade compatíveis.

Visão geral

Com o OIDC, você gerencia o acesso a um cluster do Kubernetes com os procedimentos padrão na sua organização para criar, ativar e desativar contas de funcionários. Também é possível usar os grupos de segurança da sua organização para configurar o acesso a um cluster do Kubernetes ou a serviços específicos no cluster.

Veja a seguir um fluxo de login OIDC típico:

Um usuário faz login em um provedor OpenID apresentando um nome de usuário e uma senha.
O provedor de OpenID assina e emite um token de ID para o usuário.
A CLI gcloud envia uma solicitação HTTPS para o servidor da API Kubernetes. O aplicativo inclui o token de ID do usuário no cabeçalho da solicitação.
O servidor da API Kubernetes verifica o token usando o certificado do provedor.

Como fazer login com a CLI gcloud

Execute o comando gcloud anthos auth login para autenticar com seus clusters. A CLI gcloud autentica a solicitação para o servidor da API Kubernetes.

Para usar a CLI gcloud, os tokens de ID do OIDC precisam ser armazenados no arquivo kubeconfig. Adicione tokens ao arquivo kubeconfig com gcloud anthos create-login-config. O GKE na AWS usam a CLI gcloud para solicitar e receber o token de ID e outros valores OIDC no arquivo kubeconfig.