המוצר שמתואר במסמכים האלה, GKE ב-AWS, נמצא עכשיו במצב תחזוקה והוא ייסגר ב-17 במרץ 2027.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

מידע על תפקידים ב-AWS IAM

בדף הזה מוסבר איך Google Cloud מנהלים את ההרשאות והתפקידים ב-AWS Identity and Access Management (IAM) עבור GKE on AWS.

‫GKE ב-AWS משתמש בממשק ה-API של AWS כדי ליצור משאבים כמו מכונות EC2, קבוצות של התאמה אוטומטית לעומס ומאזני עומסים גם לרכיבי GKE ב-AWS וגם לעומסי העבודה שלכם. צריך לספק ל- Google Cloud הרשאות AWS IAM כדי ליצור את המשאבים האלה.

איך GKE ב-AWS ניגש ל-AWS API

‫GKE ב-AWS משתמש באיחוד זהויות ב-AWS כדי לנהל גישה מדויקת לחשבון AWS שלכם. כש-GKE ב-AWS צריך לבצע פעולה עבור האשכול, הוא מבקש אסימון לטווח קצר מ-AWS. תפקיד GKE Multi-Cloud API משתמש באסימון הזה כדי לבצע אימות ב-AWS.

סוכני שירות

כדי להעניק גישה ליצירה, לעדכון, למחיקה ולניהול של אשכולות בחשבון AWS,‏ GKE on AWS יוצר סוכן שירות בפרויקט Google Cloud . Google Cloud סוכן השירות הוא חשבון שירות שמנוהל על ידי Google ומשתמש בתפקיד IAM של AWS ב-GKE Multi-Cloud API. צריך ליצור תפקיד AWS IAM לסוכן השירות בכל פרויקט שבו מנהלים אשכולות GKE. Google Cloud סוכן השירות משתמש בכתובת האימייל service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com. מידע נוסף על Google Cloud הרשאות IAM זמין במאמר בנושאסוכן שירות Anthos Multi-Cloud.

הרשאות AWS IAM ל-GKE ב-AWS

אתם יכולים ליצור תפקידים שמשתמשים בתפקידי ברירת מחדל של AWS IAM, או ליצור מדיניות AWS IAM בהתאמה אישית שתענה על הדרישות של הארגון שלכם.

שימוש במדיניות ברירת המחדל

מדיניות AWS IAM היא אוסף של הרשאות. כדי להעניק הרשאות ליצירה ולניהול של אשכולות, צריך קודם ליצור כללי מדיניות של AWS IAM לתפקידים הבאים:

תפקיד סוכן שירות של GKE Multi-Cloud API: ממשק GKE Multi-Cloud API משתמש בתפקיד הזה ב-AWS IAM כדי לנהל משאבים באמצעות ממשקי AWS API. התפקיד הזה משמש חשבון שירות בניהול Google שנקרא סוכן שירות.
תפקיד IAM ב-AWS במישור הבקרה: רמת הבקרה של האשכול משתמשת בתפקיד הזה כדי לשלוט במאגרי הצמתים.
תפקיד IAM ב-AWS של מאגר הצמתים: רמת הבקרה משתמשת בתפקיד הזה כדי ליצור מכונות וירטואליות של מאגר הצמתים.

כדי להשתמש בתפקידי IAM מומלצים ב-AWS עבור GKE ב-AWS כדי לנהל אשכולות, אפשר לעיין במאמר יצירת תפקידי IAM ב-AWS.

יצירת מדיניות IAM מותאמת אישית

כדי להגביל עוד יותר את ההרשאות, במקום להשתמש בכללי מדיניות מוצעים, אפשר ליצור כללי מדיניות מותאמים אישית של AWS IAM שמאפשרים GKE ב-AWS. לדוגמה, אתם יכולים להגביל את ההרשאות להרשאות למשאבים עם תג מסוים, או למשאבים ב-AWS VPC ספציפי

שליטה בגישה באמצעות תגים

אפשר להגביל את מדיניות AWS IAM כך שתאפשר פעולות רק על קבוצה מוגבלת של משאבים, באמצעות תגי AWS. כל תפקיד עם התג הזה שצוין בשדה התנאי שלו יוגבל לפעולה במשאבים עם אותו התג. אפשר להשתמש בזה כדי להגביל את תפקידי האדמין לפעולה על משאבים באשכול ספציפי או במאגר צמתים ספציפי.

כדי להגביל מדיניות AWS IAM כך שתחול רק על משאבים עם תג ספציפי, צריך לכלול את ערך התג בשדה Condition של המדיניות, ואז להעביר את ערך התג כשיוצרים את האשכול ואת מאגרי הצמתים. ‫GKE ב-AWS מחיל את התג הזה כשהוא יוצר משאבים.

מידע נוסף על תגים זמין במאמר תיוג משאבי AWS. מידע נוסף על שימוש בתגים במדיניות של AWS זמין במאמר שליטה בגישה למשאבי AWS.

מידע נוסף על יצירת משאבי אשכול עם תג מסוים זמין במאמרי העזרה בנושא gcloud container aws clusters create וgcloud container aws node-pools create.

רשימת ההרשאות הספציפיות ש-GKE on AWS צריך לכל מדיניות זמינה במאמר רשימת תפקידי IAM ב-AWS.

מידע על תפקידים ב-AWS IAM קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.