O produto descrito nesta documentação, Anthos Clusters na AWS (geração anterior), está em modo de manutenção . Todas as novas instalações devem usar o produto da geração atual, Anthos Clusters na AWS .

Esta página foi traduzida pela API Cloud Translation.

Authentication

O GKE no AWS suporta os seguintes métodos de autenticação:

Ligar
OpenID Connect (OIDC).

Ligar

Para iniciar sessão através da Google Cloud consola com o Connect, o GKE no AWS pode usar o token de portador de uma conta de serviço do Kubernetes. Para mais informações, consulte o artigo Iniciar sessão num cluster a partir da Google Cloud consola.

O servidor da API Kubernetes e o token de ID

Após a autenticação com o cluster, pode interagir através da CLI kubectl da CLI gcloud. Quando kubectl chama o servidor da API Kubernetes em nome do utilizador, o servidor da API valida o token através do certificado público do fornecedor OpenID. Em seguida, o servidor da API analisa o token para saber a identidade do utilizador e os grupos de segurança do utilizador.

O servidor da API determina se o utilizador está autorizado a fazer esta chamada específica comparando os grupos de segurança do utilizador com a política de controlo de acesso baseado em funções (RBAC) do cluster.

OIDC

O GKE on AWS suporta a autenticação OIDC com o GKE Identity Service. O serviço de identidade do GKE suporta muitos fornecedores de identidade. Para mais informações, consulte o artigo Fornecedores de identidade suportados.

Vista geral

Com o OIDC, pode gerir o acesso a um cluster com os procedimentos padrão na sua organização para criar, ativar e desativar contas de funcionários. Também pode usar os grupos de segurança da sua organização para configurar o acesso a um cluster do Kubernetes ou a serviços específicos no cluster.

Um fluxo de início de sessão do OIDC típico segue-se:

Um utilizador inicia sessão num fornecedor OpenID apresentando um nome de utilizador e uma palavra-passe.
O fornecedor OpenID assina e emite um token de ID para o utilizador.
A CLI gcloud envia um pedido HTTPS para o servidor da API Kubernetes. A aplicação inclui o token de ID do utilizador no cabeçalho do pedido.
O servidor da API Kubernetes valida o token através do certificado do fornecedor.

Iniciar sessão com a CLI gcloud

Executa o comando gcloud anthos auth login para fazer a autenticação com os seus clusters. A CLI gcloud autentica o seu pedido ao servidor da API Kubernetes.

Para usar a CLI gcloud, os tokens de ID OIDC têm de ser armazenados no ficheiro kubeconfig. Adiciona marcadores ao seu ficheiro kubeconfig com gcloud anthos create-login-config. O GKE no AWS usa a CLI gcloud para pedir e obter o token de ID e outros valores OIDC no ficheiro kubeconfig.

Authentication Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.