Questa pagina descrive come Google Cloud gestisce i ruoli e le autorizzazioni di AWS Identity and Access Management (IAM) per GKE su AWS.
GKE su AWS utilizza l'API AWS per creare risorse come istanze EC2, gruppi di scalabilità automatica e bilanciatori del carico sia per i componenti GKE su AWS sia per i tuoi carichi di lavoro. Devi fornire Google Cloud con le autorizzazioni AWS IAM per creare queste risorse.
Modalità di accesso di GKE su AWS all'API AWS
GKE su AWS utilizza la federazione delle identità in AWS per gestire l'accesso granulare al tuo account AWS. Quando GKE su AWS deve intraprendere un'azione per il tuo cluster, richiede un token di breve durata ad AWS. Il ruolo API multi-cloud GKE utilizza questo token per l'autenticazione su AWS.
Agenti di servizio
Per concedere a Google Cloud l'accesso per creare, aggiornare, eliminare e
gestire i cluster nel tuo account AWS, GKE su AWS crea un
service agent nel tuo progetto Google Cloud . L'agente di servizio è un service account gestito da Google che utilizza il ruolo IAM AWS dell'API GKE multi-cloud.
Devi creare un ruolo AWS IAM per l'agente di servizio in ogni progetto Google Cloud da cui gestisci i cluster GKE.
Il service agent utilizza l'indirizzo email
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Per saperne di più sulle autorizzazioni IAM, consulta Service agent multi-cloud Anthos. Google Cloud
Autorizzazioni AWS IAM per GKE su AWS
Puoi creare ruoli che utilizzano ruoli IAM AWS predefiniti o creare policy IAM AWS personalizzate che soddisfino i requisiti della tua organizzazione.
Utilizzare le norme predefinite
Una policy AWS IAM è una raccolta di autorizzazioni. Per concedere le autorizzazioni per creare e gestire cluster, devi prima creare policy IAM AWS per i seguenti ruoli:
- Ruolo dell'agente di servizio API GKE Multi-cloud
- L'API GKE Multi-Cloud utilizza questo ruolo AWS IAM per gestire le risorse utilizzando le API AWS. Questo ruolo viene utilizzato da un account di servizio gestito da Google noto come agente di servizio.
- Ruolo AWS IAM del control plane
- Il control plane del cluster utilizza questo ruolo per controllare i node pool.
- Ruolo AWS IAM del node pool
- Il control plane utilizza questo ruolo per creare le VM del pool di nodi.
Per utilizzare i ruoli IAM AWS suggeriti per GKE su AWS per gestire i cluster, consulta Creazione di ruoli IAM AWS.
Creare policy IAM personalizzate
Per limitare ulteriormente le autorizzazioni, anziché utilizzare i criteri suggeriti puoi creare policy AWS IAM personalizzate che consentano GKE su AWS. Ad esempio, puoi limitare le autorizzazioni alle risorse con un determinato tag o alle risorse in un VPC AWS specifico.
Controllo dell'accesso con i tag
Puoi limitare i criteri AWS IAM per consentire azioni solo su un insieme limitato di risorse, utilizzando i tag AWS. Qualsiasi ruolo con questo tag specificato nel campo condizione sarà limitato all'operazione sulle risorse con lo stesso tag. Puoi utilizzare questa funzionalità per limitare i ruoli amministrativi all'azione sulle risorse in un cluster o un pool di nodi specifico.
Per limitare l'applicazione di un criterio AWS IAM solo alle risorse con un tag specifico,
includi il valore del tag nel campo Condition del criterio, quindi passa il
valore del tag quando crei il cluster e i pool di nodi. GKE su AWS
applica questo tag quando crea risorse.
Per saperne di più sui tag, consulta Tagging AWS resources. Per ulteriori informazioni sull'utilizzo dei tag con una policy AWS, consulta Controllare l'accesso alle risorse AWS.
Per saperne di più sulla creazione di risorse cluster con un tag specifico, consulta la documentazione di riferimento di
gcloud container aws clusters create
e
gcloud container aws node-pools create.
Per un elenco delle autorizzazioni specifiche necessarie a GKE su AWS per ogni policy, consulta l'elenco dei ruoli IAM di AWS.