Produk yang dijelaskan dalam dokumentasi ini, GKE di AWS, kini dalam mode pemeliharaan dan akan dihentikan pada 17 Maret 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Ringkasan autentikasi

Halaman ini menjelaskan cara GKE di AWS menangani autentikasi ke Google Cloud dan autentikasi pengguna ke cluster Anda.

Cara GKE di AWS terhubung ke AWS

Untuk mengetahui informasi selengkapnya tentang cara GKE di AWS menggunakan peran AWS IAM untuk terhubung ke AWS, lihat Peran AWS IAM.

Autentikasi

Autentikasi GKE Multi-Cloud API

Anda menggunakan GKE Multi-Cloud API untuk membuat, memperbarui, dan menghapus cluster serta node pool. Seperti API Google Cloud lainnya, Anda dapat menggunakan API ini dengan REST, Google Cloud CLI, atau konsol Google Cloud .

Untuk mengetahui informasi selengkapnya, lihat Google Cloud ringkasan autentikasi dan GKE Multi-Cloud API dokumentasi referensi.

Autentikasi Kubernetes API

Anda dapat menggunakan alat command line kubectl untuk melakukan operasi cluster seperti men-deploy workload dan mengonfigurasi load balancer. Alat kubectl terhubung ke Kubernetes API di bidang kontrol cluster Anda. Untuk memanggil API ini, Anda harus melakukan autentikasi dengan kredensial yang diotorisasi.

Untuk mendapatkan kredensial, Anda dapat menggunakan salah satu metode berikut:

Identitas Google, yang memungkinkan pengguna login menggunakan Google Cloud identitasnya. Gunakan opsi ini jika pengguna Anda sudah memiliki akses ke Google Cloud dengan Identitas Google.
GKE Identity Service, yang memungkinkan pengguna login menggunakan OpenID Connect (OIDC) atau AWS IAM.

GKE Identity Service memungkinkan Anda menggunakan penyedia identitas seperti Okta, Active Directory Federation Services (ADFS), atau penyedia identitas yang sesuai dengan OIDC.

Otorisasi

GKE di AWS memiliki dua metode untuk kontrol akses, yaitu GKE Multi-Cloud API dan kontrol akses berbasis peran (RBAC). Bagian ini menjelaskan perbedaan antara metode tersebut.

Sebaiknya ambil pendekatan berlapis untuk melindungi cluster dan workload. Anda dapat menerapkan prinsip hak istimewa terendah ke tingkat akses yang Anda berikan kepada pengguna dan workload. Anda mungkin perlu membuat kompromi untuk memungkinkan tingkat fleksibilitas dan keamanan yang tepat.

Kontrol akses GKE Multi-Cloud API

GKE Multi-Cloud API memungkinkan administrator cluster membuat, memperbarui, dan menghapus cluster serta node pool. Anda mengelola izin untuk API dengan Identity and Access Management (IAM). Untuk menggunakan API, pengguna harus memiliki izin yang sesuai. Untuk mengetahui izin yang diperlukan untuk setiap operasi, lihat Peran dan izin API. IAM memungkinkan Anda menentukan peran dan menetapkannya ke akun utama. Peran adalah kumpulan izin, dan saat ditetapkan ke akun utama, akan mengontrol akses ke satu atau beberapa Google Cloud resource.

Saat Anda membuat cluster atau node pool di organisasi, folder, atau project, pengguna dengan izin yang sesuai di organisasi, folder, atau project tersebut dapat mengubahnya. Misalnya, jika Anda memberi pengguna izin penghapusan cluster di tingkat Google Cloud project, pengguna tersebut dapat menghapus cluster apa pun di project tersebut. Untuk mengetahui informasi selengkapnya, lihat Google Cloud hierarki resource dan Membuat kebijakan IAM.

Kontrol akses Kubernetes API

Kubernetes API memungkinkan Anda mengelola objek Kubernetes. Untuk mengelola kontrol akses di Kubernetes API, Anda menggunakan kontrol akses berbasis peran (RBAC). Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi kontrol akses berbasis peran di dokumentasi GKE.

Akses administrator

Saat Anda menggunakan gcloud CLI untuk membuat cluster, secara default GKE Multi-Cloud API akan menambahkan akun pengguna Anda sebagai administrator dan membuat kebijakan RBAC yang sesuai yang memberi Anda akses administratif penuh ke cluster. Untuk mengonfigurasi pengguna yang berbeda, teruskan the --admin-users flag saat Anda membuat atau memperbarui cluster. Saat menggunakan flag --admin-users, Anda harus menyertakan semua pengguna yang dapat mengelola cluster. gcloud CLI tidak menyertakan pengguna yang membuat cluster.

Anda juga dapat menambahkan pengguna admin menggunakan konsol Google Cloud . Untuk mengetahui informasi selengkapnya, lihat Memperbarui cluster.

Untuk melihat konfigurasi akses cluster Anda, jalankan perintah berikut:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Selain kebijakan RBAC untuk mengakses server Kubernetes API, jika pengguna admin bukan pemilik project, Anda harus memberikan peran IAM tertentu yang memungkinkan pengguna admin melakukan autentikasi menggunakan identitas Google mereka. Untuk mengetahui informasi selengkapnya tentang cara terhubung ke cluster, lihat Menghubungkan dan melakukan autentikasi ke cluster Anda.

Langkah berikutnya

Untuk menyiapkan OIDC, lihat Mengelola identitas dengan GKE Identity Service.
Menghubungkan dan melakukan autentikasi ke cluster Anda.