Produk yang dijelaskan dalam dokumentasi ini, Cluster Anthos di AWS (generasi sebelumnya), kini berada dalam mode pemeliharaan. Semua penginstalan baru harus menggunakan produk generasi saat ini, cluster Anthos di AWS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Autentikasi

GKE di AWS mendukung metode autentikasi berikut:

Konektivitas
OpenID Connect (OIDC).

Konektivitas

Untuk login menggunakan Konsol Google Cloud dengan Connect, GKE di AWS dapat menggunakan token pemilik akun layanan Kubernetes. Untuk mengetahui informasi selengkapnya, lihat Login ke cluster dari Konsol Google Cloud.

Server Kubernetes API dan token ID

Setelah melakukan autentikasi dengan cluster, Anda dapat berinteraksi menggunakan CLI kubectl dari gcloud CLI. Saat kubectl memanggil server Kubernetes API atas nama pengguna, server API akan memverifikasi token menggunakan sertifikat publik penyedia OpenID. Kemudian, server API akan mengurai token untuk mempelajari identitas pengguna dan grup keamanan pengguna.

Server API menentukan apakah pengguna diberi otorisasi untuk melakukan panggilan khusus ini dengan membandingkan grup keamanan pengguna dengan kebijakan Kontrol Akses berbasis peran (RBAC) cluster.

OIDC

GKE di AWS mendukung autentikasi OIDC dengan GKE Identity Service. GKE Identity Service mendukung banyak penyedia identitas. Untuk mengetahui informasi selengkapnya, lihat Penyedia identitas yang didukung.

Ringkasan

Dengan OIDC, Anda dapat mengelola akses ke cluster dengan prosedur standar dalam organisasi Anda untuk membuat, mengaktifkan, dan menonaktifkan akun karyawan. Anda juga dapat menggunakan grup keamanan organisasi untuk mengonfigurasi akses ke cluster Kubernetes atau ke layanan tertentu di cluster.

Alur login OIDC umumnya adalah sebagai berikut:

Pengguna login ke penyedia OpenID dengan memberikan nama pengguna dan sandi.
Penyedia OpenID menandatangani dan mengeluarkan token ID untuk pengguna.
Gcloud CLI mengirimkan permintaan HTTPS ke server Kubernetes API. Aplikasi menyertakan token ID pengguna di header permintaan.
Server Kubernetes API memverifikasi token menggunakan sertifikat penyedia.

Login dengan gcloud CLI

Anda menjalankan perintah gcloud anthos auth login untuk melakukan autentikasi dengan cluster. Gcloud CLI mengautentikasi permintaan Anda ke server Kubernetes API.

Untuk menggunakan gcloud CLI, token ID OIDC Anda harus disimpan dalam file kubeconfig. Anda dapat menambahkan token ke file kubeconfig dengan gcloud anthos create-login-config. GKE di AWS menggunakan gcloud CLI untuk meminta dan mendapatkan token ID serta nilai OIDC lainnya dalam file kubeconfig.