Produk yang dijelaskan dalam dokumentasi ini, Cluster Anthos di AWS (generasi sebelumnya), kini berada dalam mode pemeliharaan. Semua penginstalan baru harus menggunakan produk generasi saat ini, cluster Anthos di AWS.

Halaman ini diterjemahkan oleh Cloud Translation API.

Authentication

GKE on AWS mendukung metode autentikasi berikut:

Hubungkan
OpenID Connect (OIDC).

Hubungkan

Untuk login menggunakan konsol Google Cloud dengan Connect, GKE di AWS dapat menggunakan token pembawa akun layanan Kubernetes. Untuk mengetahui informasi selengkapnya, lihat Login ke cluster dari konsol. Google Cloud

Server Kubernetes API dan token ID

Setelah melakukan autentikasi dengan cluster, Anda dapat berinteraksi menggunakan CLI kubectl dari gcloud CLI. Saat kubectl memanggil server Kubernetes API atas nama pengguna, server API memverifikasi token menggunakan sertifikat publik penyedia OpenID. Kemudian, server API mengurai token untuk mempelajari identitas pengguna dan grup keamanan pengguna.

Server API menentukan apakah pengguna diizinkan untuk melakukan panggilan tertentu ini dengan membandingkan grup keamanan pengguna dengan kebijakan Kontrol Akses berbasis Peran (RBAC) cluster.

OIDC

GKE di AWS mendukung autentikasi OIDC dengan GKE Identity Service. GKE Identity Service mendukung banyak penyedia identitas. Untuk mengetahui informasi selengkapnya, lihat Penyedia identitas yang didukung.

Ringkasan

Dengan OIDC, Anda dapat mengelola akses ke cluster dengan prosedur standar di organisasi Anda untuk membuat, mengaktifkan, dan menonaktifkan akun karyawan. Anda juga dapat menggunakan grup keamanan organisasi Anda untuk mengonfigurasi akses ke cluster Kubernetes atau ke layanan tertentu di cluster.

Alur login OIDC standar adalah sebagai berikut:

Pengguna login ke penyedia OpenID dengan memasukkan nama pengguna dan sandi.
Penyedia OpenID menandatangani dan mengeluarkan token ID untuk pengguna.
gcloud CLI mengirim permintaan HTTPS ke server Kubernetes API. Aplikasi menyertakan token ID pengguna di header permintaan.
Server Kubernetes API memverifikasi token menggunakan sertifikat penyedia.

Login dengan gcloud CLI

Anda menjalankan perintah gcloud anthos auth login untuk melakukan autentikasi dengan cluster Anda. Gcloud CLI mengautentikasi permintaan Anda ke server Kubernetes API.

Untuk menggunakan gcloud CLI, token ID OIDC Anda harus disimpan dalam file kubeconfig. Anda menambahkan token ke file kubeconfig dengan gcloud anthos create-login-config. GKE di AWS menggunakan gcloud CLI untuk meminta dan mendapatkan token ID dan nilai OIDC lainnya dalam file kubeconfig.

Authentication Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.