Il prodotto descritto in questa documentazione, GKE su AWS, è ora in modalità di manutenzione e verrà ritirato il 17 marzo 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Panoramica dell'autenticazione

Questa pagina descrive come GKE su AWS gestisce l'autenticazione a Google Cloud e l'autenticazione degli utenti nei cluster.

Come GKE su AWS si connette ad AWS

Per saperne di più su come GKE su AWS utilizza i ruoli IAM AWS per connettersi ad AWS, consulta Ruoli IAM AWS.

Autenticazione

Autenticazione dell'API GKE Multi-cloud

Utilizza l'API GKE Multi-cloud per creare, aggiornare ed eliminare cluster e node pool. Come per altre Google Cloud API, puoi utilizzare questa API con REST, Google Cloud CLI o la Google Cloud console.

Per saperne di più, consulta Google Cloud la panoramica dell'autenticazione e la documentazione di riferimento dell'API GKE Multi-cloud.

Autenticazione dell'API Kubernetes

Puoi utilizzare lo strumento a riga di comando kubectl per eseguire operazioni sui cluster, come il deployment di un carico di lavoro e la configurazione di un bilanciatore del carico. Lo strumento kubectl si connette all'API Kubernetes sul piano di controllo del cluster. Per chiamare questa API, devi autenticarti con le credenziali autorizzate.

Per ottenere le credenziali, puoi utilizzare uno dei seguenti metodi:

Identità Google, che consente agli utenti di accedere utilizzando la propria Google Cloud identità. Utilizza questa opzione se i tuoi utenti hanno già accesso a Google Cloud con un'identità Google.
GKE Identity Service, che consente agli utenti di accedere utilizzando OpenID Connect (OIDC) o AWS IAM.

GKE Identity Service ti consente di utilizzare provider di identità come Okta, Active Directory Federation Services (ADFS), o qualsiasi provider di identità conforme a OIDC.

Autorizzazione

GKE su AWS ha due metodi per il controllo dell'accesso: l'API GKE Multi-cloud e il controllo dell'accesso basato sui ruoli (RBAC). Questa sezione descrive le differenze tra questi metodi.

È consigliabile adottare un approccio a più livelli per proteggere i cluster e i carichi di lavoro. Puoi applicare il principio del privilegio minimo al livello di accesso che fornisci agli utenti e ai carichi di lavoro. Potresti dover scendere a compromessi per consentire il giusto livello di flessibilità e sicurezza.

Controllo dell'accesso all'API GKE Multi-cloud

L'API GKE Multi-cloud consente agli amministratori dei cluster di creare, aggiornare ed eliminare cluster e node pool. Gestisci le autorizzazioni per l'API con Identity and Access Management (IAM). Per utilizzare l'API, gli utenti devono disporre delle autorizzazioni appropriate. Per le autorizzazioni necessarie per ogni operazione, consulta Ruoli e autorizzazioni API. IAM ti consente di definire i ruoli e assegnarli alle entità. Un ruolo è una raccolta di autorizzazioni e, quando viene assegnato a un'entità, controlla l'accesso a una o più Google Cloud risorse.

Quando crei un cluster o un pool di nodi in un'organizzazione, una cartella o un progetto, gli utenti con le autorizzazioni appropriate nell'organizzazione, nella cartella o nel progetto possono modificarlo. Ad esempio, se concedi a un utente l'autorizzazione per l'eliminazione del cluster a livello di Google Cloud progetto, l'utente può eliminare qualsiasi cluster nel progetto. Per saperne di più, consulta Google Cloud Gerarchia delle risorse e Creazione di policy IAM.

Controllo dell'accesso all'API Kubernetes

L'API Kubernetes consente di gestire gli oggetti Kubernetes. Per gestire il controllo dell'accesso all'API Kubernetes, utilizza il controllo dell'accesso basato sui ruoli (RBAC). Per saperne di più, consulta Configurazione del controllo dell'accesso basato sui ruoli nella documentazione di GKE.

Accesso come amministratore

Quando utilizzi gcloud CLI per creare un cluster, per impostazione predefinita l'API GKE Multi-cloud aggiunge il tuo account utente come amministratore e crea le policy RBAC appropriate che ti concedono l'accesso amministrativo completo al cluster. Per configurare utenti diversi, passa il --admin-users flag quando crei o aggiorni un cluster. Quando utilizzi il flag --admin-users, devi includere tutti gli utenti che possono amministrare il cluster. gcloud CLI non include l'utente che crea il cluster.

Puoi anche aggiungere utenti amministratori utilizzando la Google Cloud console. Per saperne di più, consulta Aggiornare il cluster.

Per visualizzare la configurazione dell'accesso al cluster, esegui il seguente comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Oltre alle policy RBAC per accedere al server API Kubernetes, se un utente amministratore non è Project Owner, devi concedere ruoli IAM specifici che consentano agli utenti amministratori di autenticarsi utilizzando la propria identità Google. Per saperne di più su come connetterti al cluster, consulta Connessione al cluster e autenticazione.

Passaggi successivi

Per configurare OIDC, consulta Gestire l'identità con GKE Identity Service.
Connessione al cluster e autenticazione.