המוצר שמתואר במסמכים האלה, GKE ב-AWS, נמצא עכשיו במצב תחזוקה והוא ייסגר ב-17 במרץ 2027.

סקירה כללית על אימות

בדף הזה מוסבר איך GKE on AWS מטפל באימות ל-Google Cloud ובאימות משתמשים לאשכולות.

איך GKE ב-AWS מתחבר ל-AWS

מידע נוסף על האופן שבו GKE ב-AWS משתמש בתפקידי AWS IAM כדי להתחבר ל-AWS זמין במאמר בנושא תפקידי AWS IAM.

אימות

אימות של GKE Multi-Cloud API

משתמשים ב-GKE Multi-Cloud API כדי ליצור, לעדכן ולמחוק אשכולות ומאגרי צמתים. כמו בממשקי API אחרים של Google Cloud , אפשר להשתמש ב-API הזה עם REST,‏ Google Cloud CLI או Google Cloud המסוף.

מידע נוסף זמין בסקירה הכללית על אימותGoogle Cloud ובמאמרי העזרה של GKE Multi-Cloud API.

אימות של Kubernetes API

אפשר להשתמש בכלי kubectl של שורת הפקודה כדי לבצע פעולות על אשכולות, כמו פריסת עומס עבודה והגדרת איזון עומסים. הכלי kubectl מתחבר ל-Kubernetes API במישור הבקרה של האשכול. כדי להתקשר אל ה-API הזה, צריך לבצע אימות באמצעות פרטי כניסה מורשים.

כדי לקבל פרטי כניסה, אפשר להשתמש באחת מהשיטות הבאות:

Google Identity, שמאפשרת למשתמשים להיכנס באמצעות הזהות שלהם ב- Google Cloud . משתמשים באפשרות הזו אם למשתמשים שלכם כבר יש גישה אל Google Cloud עם זהות Google.
GKE Identity Service, שמאפשר למשתמשים להתחבר באמצעות OpenID Connect ‏(OIDC) או AWS IAM.

‫GKE Identity Service מאפשר לכם להשתמש בספקי זהויות כמו Okta,‏ Active Directory Federation Services ‏ (ADFS) או כל ספק זהויות שתואם ל-OIDC.

הרשאה

ב-GKE ב-AWS יש שתי שיטות לבקרת גישה: GKE Multi-Cloud API ובקרת גישה מבוססת-תפקידים (RBAC). בקטע הזה מתוארים ההבדלים בין השיטות האלה.

מומלץ להשתמש בגישה רב-שכבתית כדי להגן על האשכולות ועומסי העבודה. אתם יכולים להחיל את העיקרון של הרשאות מינימליות על רמת הגישה שאתם מספקים למשתמשים ולעומסי העבודה. יכול להיות שתצטרכו להתפשר כדי לאפשר את הרמה הנכונה של גמישות ואבטחה.

בקרת גישה ל-GKE Multi-Cloud API

‫GKE Multi-Cloud API מאפשר לאדמינים של אשכולות ליצור, לעדכן ולמחוק אשכולות ומאגרי צמתים. אתם מנהלים את ההרשאות ל-API באמצעות ניהול זהויות והרשאות גישה (IAM). כדי להשתמש ב-API, למשתמשים צריכות להיות ההרשאות המתאימות. במאמר תפקידים והרשאות ב-API מפורטות ההרשאות הנדרשות לכל פעולה. ב-IAM אפשר להגדיר תפקידים ולהקצות אותם לחשבונות משתמשים. תפקיד הוא אוסף של הרשאות, וכשהוא מוקצה לחשבון משתמש, הוא שולט בגישה ל Google Cloud משאב אחד או יותר.

כשיוצרים אשכול או מאגר צמתים בארגון, בתיקייה או בפרויקט, משתמשים עם הרשאות מתאימות בארגון, בתיקייה או בפרויקט יכולים לשנות אותו. לדוגמה, אם נותנים למשתמש הרשאה למחיקת אשכול ברמת הפרויקטGoogle Cloud , המשתמש יכול למחוק כל אשכול באותו פרויקט. מידע נוסף זמין במאמרים Google Cloud היררכיית המשאבים ויצירת מדיניות IAM.

בקרת גישה ל-Kubernetes API

באמצעות Kubernetes API אפשר לנהל אובייקטים של Kubernetes. כדי לנהל את בקרת הגישה ב-Kubernetes API, משתמשים בבקרת גישה מבוססת-תפקידים (RBAC). מידע נוסף זמין במאמר בנושא הגדרת בקרת גישה מבוססת-תפקידים במסמכי התיעוד של GKE.

הרשאת אדמין

כשמשתמשים ב-CLI של gcloud כדי ליצור אשכול, כברירת מחדל GKE Multi-Cloud API מוסיף את חשבון המשתמש כאדמין ויוצר כללי מדיניות מתאימים של RBAC שמעניקים לכם גישת אדמין מלאה לאשכול. כדי להגדיר משתמשים שונים, מעבירים את הדגל --admin-users כשיוצרים או מעדכנים אשכול. כשמשתמשים בדגל --admin-users, צריך לכלול את כל המשתמשים שיכולים לנהל את האשכול. ה-CLI של gcloud לא כולל את המשתמש שיצר את האשכול.

אפשר גם להוסיף משתמשים עם הרשאות אדמין באמצעות Google Cloud המסוף. מידע נוסף זמין במאמר בנושא עדכון האשכול.

כדי לראות את הגדרות הגישה של האשכול, מריצים את הפקודה הבאה:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

בנוסף למדיניות RBAC לגישה לשרת Kubernetes API, אם משתמש עם הרשאות אדמין הוא לא בעל הפרויקט, צריך להעניק לו תפקידי IAM ספציפיים שיאפשרו לו לבצע אימות באמצעות הזהות שלו ב-Google. מידע נוסף על התחברות לאשכול זמין במאמר התחברות לאשכול ואימות שלו.

המאמרים הבאים

כדי להגדיר OIDC, אפשר לעיין במאמר ניהול זהויות באמצעות שירות הזהויות של GKE.
מתחברים לאשכול ומאמתים אותו.