Il prodotto descritto in questa documentazione, GKE su AWS, è ora in modalità di manutenzione e verrà ritirato il 17 marzo 2027.

Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica dell'autenticazione

Questa pagina descrive come GKE su AWS gestisce l'autenticazione a Google Cloud e l'autenticazione utente ai tuoi cluster.

Come GKE su AWS si connette ad AWS

Per ulteriori informazioni su come GKE su AWS utilizza i ruoli IAM AWS per connettersi ad AWS, consulta Ruoli IAM AWS.

Autenticazione

Autenticazione API GKE Multi-cloud

Utilizzi l'API GKE Multi-Cloud per creare, aggiornare ed eliminare cluster e node pool. Come per altre API Google Cloud , puoi utilizzare questa API con REST, Google Cloud CLI o la console Google Cloud .

Per saperne di più, consulta la panoramica dell'autenticazioneGoogle Cloud e la documentazione di riferimento dell'API GKE Multi-Cloud.

Autenticazione API Kubernetes

Puoi utilizzare lo strumento a riga di comando kubectl per eseguire operazioni del cluster, ad esempio il deployment di un carico di lavoro e la configurazione di un bilanciatore del carico. Lo strumento kubectl si connette all'API Kubernetes sul control plane del cluster. Per chiamare questa API, devi autenticarti con credenziali autorizzate.

Per ottenere le credenziali, puoi utilizzare uno dei seguenti metodi:

Identità Google, che consente agli utenti di accedere utilizzando la propria identità Google Cloud . Utilizza questa opzione se i tuoi utenti hanno già accesso a Google Cloud con un'identità Google.
GKE Identity Service, che consente agli utenti di accedere utilizzando OpenID Connect (OIDC) o AWS IAM.

GKE Identity Service ti consente di utilizzare provider di identità come Okta, Active Directory Federation Services (ADFS) o qualsiasi provider di identità conforme a OIDC.

Autorizzazione

GKE su AWS dispone di due metodi per controllo dell'accesso'accesso: l'API GKE Multi-cloud e il controllo controllo dell'accesso basato sui ruoli (RBAC). Questa sezione descrive le differenze tra questi metodi.

È preferibile adottare un approccio a più livelli per proteggere i cluster e i carichi di lavoro. Puoi applicare il principio del privilegio minimo al livello di accesso che fornisci ai tuoi utenti e ai tuoi workload. Potresti dover scendere a compromessi per consentire il giusto livello di flessibilità e sicurezza.

Controllo dell'accesso all'API GKE Multi-cloud

L'API GKE Multi-Cloud consente agli amministratori dei cluster di creare, aggiornare ed eliminare cluster e node pool. Gestisci le autorizzazioni per l'API con Identity and Access Management (IAM). Per utilizzare l'API, gli utenti devono disporre delle autorizzazioni appropriate. Per le autorizzazioni necessarie per ogni operazione, consulta Ruoli e autorizzazioni API. IAM ti consente di definire ruoli e assegnarli alle entità. Un ruolo è una raccolta di autorizzazioni e, quando viene assegnato a un'entità, controlla l'accesso a una o più Google Cloud risorse.

Quando crei un cluster o un pool di nodi in un'organizzazione, una cartella o un progetto, gli utenti con le autorizzazioni appropriate in quell'organizzazione, cartella o progetto possono modificarlo. Ad esempio, se concedi a un utente l'autorizzazione per l'eliminazione del cluster a livello di progettoGoogle Cloud , l'utente può eliminare qualsiasi cluster nel progetto. Per saperne di più, consulta la gerarchia delle risorse e la creazione di policy IAM.Google Cloud

Controllo dell'accesso'API Kubernetes

L'API Kubernetes ti consente di gestire gli oggetti Kubernetes. Per gestire il controllo dell'accesso dell'accesso all'API Kubernetes, utilizza il controllo dell'accesso basato sui ruoli (RBAC). Per ulteriori informazioni, consulta la sezione Configurazione del controllo degli accessi basato sui ruoli nella documentazione di GKE.

Accesso come amministratore

Quando utilizzi gcloud CLI per creare un cluster, per impostazione predefinita l'API GKE Multi-Cloud aggiunge il tuo account utente come amministratore e crea policy RBAC appropriate che ti concedono l'accesso amministrativo completo al cluster. Per configurare utenti diversi, passa il flag --admin-users quando crei o aggiorni un cluster. Quando utilizzi il flag --admin-users, devi includere tutti gli utenti che possono amministrare il cluster. gcloud CLI non include l'utente che crea il cluster.

Puoi aggiungere utenti amministratore anche utilizzando la console Google Cloud . Per ulteriori informazioni, vedi Aggiornare il cluster.

Per visualizzare la configurazione dell'accesso al cluster, esegui questo comando:

kubectl describe clusterrolebinding gke-multicloud-cluster-admin

Oltre ai criteri RBAC per accedere al server API Kubernetes, se un utente amministratore non è proprietario del progetto, devi concedere ruoli IAM specifici che consentano agli utenti amministratore di autenticarsi utilizzando la propria identità Google. Per maggiori informazioni su come connetterti al cluster, consulta Connessione al cluster e autenticazione.

Passaggi successivi

Per configurare OIDC, consulta Gestione dell'identità con GKE Identity Service.
Connettiti al cluster e autenticati.