Il prodotto descritto in questa documentazione, Anthos Clusters on AWS (generazione precedente), è ora in modalità di manutenzione. Tutte le nuove installazioni devono utilizzare l'attuale prodotto di generazione, Cluster Anthos on AWS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Autenticazione

GKE su AWS supporta i seguenti metodi di autenticazione:

Connetti
OpenID Connect (OIDC).

Connetti

Per accedere utilizzando la console Google Cloud con Connect, GKE su AWS può utilizzare il token di connessione di un account di servizio Kubernetes. Per ulteriori informazioni, consulta Accedere a un cluster dalla console Google Cloud.

Il server API Kubernetes e il token ID

Dopo l'autenticazione con il cluster, puoi interagire utilizzando l'interfaccia a riga di comando kubectl di gcloud CLI. Quando kubectl chiama il server API Kubernetes per conto dell'utente, il server API verifica il token utilizzando il certificato pubblico del provider OpenID. Quindi il server API analizza il token per apprendere l'identità e i gruppi di sicurezza dell'utente.

Il server API determina se l'utente è autorizzato a effettuare questa particolare chiamata confrontando i gruppi di sicurezza dell'utente con il criterio di controllo degli accessi basato su ruoli (RBAC) del cluster.

OIDC

GKE su AWS supporta l'autenticazione OIDC con GKE Identity Service. GKE Identity Service supporta molti provider di identità. Per maggiori informazioni, consulta Provider di identità supportati.

Panoramica

Con OIDC puoi gestire l'accesso a un cluster con le procedure standard della tua organizzazione per la creazione, l'abilitazione e la disattivazione degli account dei dipendenti. Puoi anche utilizzare i gruppi di sicurezza della tua organizzazione per configurare l'accesso a un cluster Kubernetes o a servizi specifici nel cluster.

Di seguito è riportato un flusso di accesso OIDC tipico:

Un utente accede a un provider OpenID presentando un nome utente e una password.
Il provider OpenID firma e rilascia un token ID per l'utente.
gcloud CLI invia una richiesta HTTPS al server API di Kubernetes. L'applicazione include il token ID dell'utente nell'intestazione della richiesta.
Il server API Kubernetes verifica il token utilizzando il certificato del provider.

Accesso con gcloud CLI

Esegui il comando gcloud anthos auth login per l'autenticazione con i cluster. gcloud CLI autentica la tua richiesta al server API Kubernetes.

Per utilizzare gcloud CLI, i token ID OIDC devono essere archiviati nel file kubeconfig. Puoi aggiungere token al tuo file kubeconfig con gcloud anthos create-login-config. GKE su AWS utilizza gcloud CLI per richiedere e ottenere il token ID e altri valori OIDC nel file kubeconfig.