GKE on AWS admite los siguientes métodos de autenticación:
- Conectar
- OpenID Connect (OIDC)
Conectar
Para acceder mediante la consola de Google Cloud con Connect, GKE en AWS puede usar el token del portador de una cuenta de servicio de Kubernetes. Si deseas obtener más información, consulta Accede a un clúster desde la consola de Google Cloud.
El servidor de la API de Kubernetes y el token de ID
Después de autenticarte con el clúster, puedes interactuar mediante la CLI de kubectl
de la CLI de gcloud. Cuando kubectl
llama al servidor de la API de Kubernetes en nombre del usuario, el servidor de la API verifica el token mediante el certificado público del proveedor de OpenID. Luego, el servidor de la API analiza el token para conocer la identidad y los grupos de seguridad del usuario.
El servidor de la API determina si el usuario está autorizado para realizar esta llamada en particular mediante la comparación de los grupos de seguridad del usuario con la política de control de acceso basado en roles (RBAC) del clúster.
OIDC
GKE en AWS admite la autenticación de OIDC con GKE Identity Service. GKE Identity Service es compatible con muchos proveedores de identidad. Para obtener más información, consulta Proveedores de identidad compatibles.
Descripción general
Con OIDC, puedes administrar el acceso a un clúster con los procedimientos estándar de tu organización para crear, habilitar e inhabilitar cuentas de empleados. También puedes usar los grupos de seguridad de tu organización para configurar el acceso a un clúster de Kubernetes o a servicios específicos del clúster.
A continuación, se describe un flujo de acceso típico de OIDC:
Un usuario puede acceder a un proveedor de OpenID si presenta un nombre de usuario y una contraseña.
El proveedor de OpenID firma y emite un token de ID para el usuario.
La CLI de gcloud envía una solicitud HTTPS al servidor de la API de Kubernetes. La aplicación incluye el token de ID del usuario en el encabezado de la solicitud.
El servidor de la API de Kubernetes verifica el token mediante el certificado del proveedor.
Accede con la CLI de gcloud
Debes ejecutar el comando gcloud anthos auth login
para autenticarte con tus clústeres. La CLI de gcloud autentica tu solicitud en el servidor de la API de Kubernetes.
Para usar la CLI de gcloud, tus tokens de ID de OIDC deben almacenarse en el archivo kubeconfig
.
Debes agregar tokens al archivo kubeconfig
con gcloud anthos create-login-config
.
GKE en AWS usa gcloud CLI para solicitar y obtener el token de ID y otros valores de OIDC en el archivo kubeconfig
.