En esta página se describe cómo gestiona Google Cloud los permisos y los roles de gestión de identidades y accesos (IAM) de AWS para tu GKE en AWS.
GKE en AWS usa la API de AWS para crear recursos como instancias de EC2, grupos de escalado automático y balanceadores de carga para los componentes de GKE en AWS y tus cargas de trabajo. Debes proporcionar Google Cloud permisos de gestión de identidades y accesos de AWS para crear estos recursos.
Cómo accede GKE on AWS a la API de AWS
GKE en AWS usa la federación de identidades en AWS para gestionar el acceso detallado a tu cuenta de AWS. Cuando GKE en AWS necesita llevar a cabo una acción en tu clúster, solicita un token de corta duración a AWS. El rol de API multinube de GKE usa este token para autenticarse en AWS.
Agentes de servicio
Para conceder Google Cloud acceso a la creación, actualización, eliminación y gestión de clústeres en tu cuenta de AWS, GKE en AWS crea un agente de servicio en tu Google Cloud proyecto. El agente de servicio es una cuenta de servicio gestionada por Google que usa el rol de IAM de AWS de la API multinube de GKE.
Debes crear un rol de gestión de identidades y accesos de AWS para el agente de servicio en cada Google Cloud proyecto desde el que gestiones clústeres de GKE.
El agente del servicio usa la dirección de correo service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Para obtener más información sobre los permisos de gestión de identidades y accesos, consulta Agente de servicio de Anthos Multi-Cloud. Google Cloud
Permisos de IAM de AWS para GKE en AWS
Puede crear roles que usen roles de gestión de identidades y accesos de AWS predeterminados o crear sus propias políticas de gestión de identidades y accesos de AWS personalizadas que cumplan los requisitos de su organización.
Usar políticas predeterminadas
Una política de gestión de identidades y accesos de AWS es un conjunto de permisos. Para conceder permisos para crear y gestionar clústeres, primero debes crear políticas de gestión de identidades y accesos de AWS para los siguientes roles:
- Rol de agente de servicio de la API de GKE Multi-cloud
- La API multinube de GKE usa este rol de IAM de AWS para gestionar recursos mediante APIs de AWS. Este rol lo usa una cuenta de servicio gestionada por Google que se conoce como agente de servicio.
- Rol de gestión de identidades y accesos de AWS del plano de control
- El plano de control de tu clúster usa este rol para controlar los grupos de nodos.
- Rol de gestión de identidades y accesos de AWS del grupo de nodos
- El plano de control usa este rol para crear VMs de grupos de nodos.
Para usar los roles de gestión de identidades y accesos de AWS sugeridos para GKE en AWS y gestionar clústeres, consulta Crear roles de gestión de identidades y accesos de AWS.
Crear políticas de gestión de identidades y accesos personalizadas
Para restringir aún más los permisos, en lugar de usar las políticas sugeridas, puedes crear políticas de gestión de identidades y accesos de AWS personalizadas que permitan GKE en AWS. Por ejemplo, puedes restringir los permisos a recursos con una etiqueta determinada o recursos de una VPC de AWS específica.
Controlar el acceso con etiquetas
Puede restringir las políticas de gestión de identidades y accesos de AWS para permitir acciones solo en un conjunto limitado de recursos mediante etiquetas de AWS. Cualquier rol que tenga esa etiqueta especificada en su campo "condition" solo podrá operar en recursos con la misma etiqueta. Puedes usarlo para restringir los roles de administrador a los recursos de un clúster o un grupo de nodos específicos.
Para restringir una política de AWS IAM de forma que solo se aplique a los recursos con una etiqueta específica, incluya el valor de la etiqueta en el campo Condition de la política y, a continuación, transmita el valor de la etiqueta al crear el clúster y los grupos de nodos. GKE on AWS aplica esta etiqueta cuando crea recursos.
Para obtener más información sobre las etiquetas, consulta Etiquetar recursos de AWS. Para obtener más información sobre cómo usar etiquetas con una política de AWS, consulta Controlar el acceso a los recursos de AWS.
Para obtener más información sobre cómo crear recursos de clúster con una etiqueta concreta, consulta la documentación de referencia de gcloud container aws clusters create y gcloud container aws node-pools create.
Para ver una lista de los permisos específicos que necesita GKE en AWS para cada política, consulta la lista de roles de gestión de identidades y accesos de AWS.