El producto descrito en esta documentación, Anthos Clusters en AWS (generación anterior), se encuentra actualmente en modo de mantenimiento . Todas las nuevas instalaciones deben usar el producto de la generación actual, Anthos Clusters en AWS .

Esta página se ha traducido con Cloud Translation API.

Authentication

GKE en AWS admite los siguientes métodos de autenticación:

Conectar
OpenID Connect (OIDC).

Conectar

Para iniciar sesión con la consola con Connect, GKE en AWS puede usar el token de portador de una cuenta de servicio de Kubernetes. Google Cloud Para obtener más información, consulta el artículo sobre cómo iniciar sesión en un clúster desde la consola de Google Cloud .

El servidor de la API de Kubernetes y el token de ID

Después de autenticarte en el clúster, puedes interactuar con él mediante la CLI de kubectl o la CLI de gcloud. Cuando kubectl llama al servidor de la API de Kubernetes en nombre del usuario, el servidor de la API verifica el token mediante el certificado público del proveedor de OpenID. A continuación, el servidor de la API analiza el token para conocer la identidad del usuario y sus grupos de seguridad.

El servidor de la API determina si el usuario tiene autorización para hacer esta llamada concreta comparando los grupos de seguridad del usuario con la política de control de acceso basado en roles (RBAC) del clúster.

OIDC

GKE en AWS admite la autenticación OIDC con el servicio de identidad de GKE. GKE Identity Service es compatible con muchos proveedores de identidades. Para obtener más información, consulta Proveedores de identidades admitidos.

Información general

Con OIDC, puedes gestionar el acceso a un clúster con los procedimientos estándar de tu organización para crear, habilitar e inhabilitar cuentas de empleados. También puedes usar los grupos de seguridad de tu organización para configurar el acceso a un clúster de Kubernetes o a servicios específicos del clúster.

Un flujo de inicio de sesión de OIDC típico es el siguiente:

Un usuario inicia sesión en un proveedor de OpenID proporcionando un nombre de usuario y una contraseña.
El proveedor de OpenID firma y emite un token de ID para el usuario.
La CLI de gcloud envía una solicitud HTTPS al servidor de la API de Kubernetes. La aplicación incluye el token de ID del usuario en el encabezado de la solicitud.
El servidor de la API de Kubernetes verifica el token mediante el certificado del proveedor.

Iniciar sesión con la CLI de gcloud

Ejecuta el comando gcloud anthos auth login para autenticarte con tus clústeres. La CLI de gcloud autentica tu solicitud al servidor de la API de Kubernetes.

Para usar la CLI de gcloud, los tokens de ID de OIDC deben almacenarse en el archivo kubeconfig. Para añadir tokens al archivo kubeconfig, usa gcloud anthos create-login-config. GKE en AWS usa la CLI gcloud para solicitar y obtener el token de ID y otros valores de OIDC en el archivo kubeconfig.

Authentication Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.