Questa pagina descrive come Google Cloud gestisce le autorizzazioni e i ruoli di AWS Identity and Access Management (IAM) per GKE su AWS.
GKE su AWS utilizza l'API AWS per creare risorse come istanze EC2, gruppi di scalabilità automatica e bilanciatori del carico sia per i componenti GKE su AWS sia per i carichi di lavoro. Devi fornire a Google Cloud le autorizzazioni AWS IAM per creare queste risorse.
In che modo GKE su AWS accede all'API AWS
GKE su AWS utilizza la federazione di identità in AWS per gestire l'accesso granulare al tuo account AWS. Quando GKE su AWS deve eseguire un'azione per il tuo cluster, richiede un token di breve durata ad AWS. Il ruolo API GKE Multi-Cloud utilizza questo token per l'autenticazione ad AWS.
Agenti di servizio
Per concedere l'accesso alla creazione, all'aggiornamento, all'eliminazione e alla gestione dei cluster nel tuo account AWS, GKE su AWS crea un
agente di servizio nel tuo Google Cloud progetto. Google Cloud L'
agente di servizio è un
account di servizio gestito da Google che
utilizza il ruolo AWS IAM dell'API GKE Multi-Cloud.
Devi creare un ruolo AWS IAM per l'agente di servizio in ogni Google Cloud progetto da cui gestisci i cluster GKE.
L'agente di servizio utilizza l'indirizzo email
service-PROJECT_NUMBER@gcp-sa-gkemulticloud.iam.gserviceaccount.com.
Per saperne di più sulle autorizzazioni IAM Google Cloud ,
consulta
Agente di servizio Anthos Multi-Cloud.
Autorizzazioni AWS IAM per GKE su AWS
Puoi creare ruoli che utilizzano i ruoli AWS IAM predefiniti o creare criteri AWS IAM personalizzati che soddisfano i requisiti della tua organizzazione.
Utilizzare i criteri predefiniti
Un criterio AWS IAM è un insieme di autorizzazioni. Per concedere le autorizzazioni per creare e gestire i cluster, devi prima creare i criteri AWS IAM per i seguenti ruoli:
- Ruolo dell'agente di servizio dell'API GKE Multi-Cloud
- L'API GKE Multi-Cloud utilizza questo ruolo AWS IAM per gestire le risorse utilizzando le API AWS. Questo ruolo viene utilizzato da un account di servizio gestito da Google noto come a service agent.
- Ruolo AWS IAM del control plane
- Il control plane del cluster utilizza questo ruolo per controllare i node pool.
- Ruolo AWS IAM del node pool
- Il control plane utilizza questo ruolo per creare le VM pool di nodi.
Per utilizzare i ruoli AWS IAM suggeriti per GKE su AWS per gestire i cluster, consulta Creare ruoli AWS IAM.
Creare criteri IAM personalizzati
Per limitare ulteriormente le autorizzazioni, anziché utilizzare i criteri suggeriti puoi creare criteri AWS IAM personalizzati che consentano GKE su AWS. Ad esempio, puoi limitare le autorizzazioni alle risorse con un determinato tag o alle risorse in un VPC AWS specifico.
Controllare l'accesso con i tag
Puoi limitare i criteri AWS IAM in modo da consentire le azioni solo su un insieme limitato di risorse, utilizzando i tag AWS. Qualsiasi ruolo con il tag specificato nel campo della condizione sarà limitato all'operatività sulle risorse con lo stesso tag. Puoi utilizzare questa funzionalità per limitare i ruoli amministrativi all'esecuzione di azioni sulle risorse in un cluster o in un pool di nodi specifico.
Per limitare un criterio AWS IAM in modo che si applichi solo alle risorse con un tag specifico, includi il valore del tag nel campo Condition del criterio, quindi passa il valore del tag quando crei il cluster e i node pool. GKE su AWS applica questo tag quando crea le risorse.
Per saperne di più sui tag, consulta Tagging delle risorse AWS. Per saperne di più sull'utilizzo dei tag con un criterio AWS, consulta Controllo dell'accesso alle risorse AWS.
Per saperne di più sulla creazione di risorse cluster con un tag specifico, consulta la documentazione di riferimento di
gcloud container aws clusters create
e
gcloud container aws node-pools create.
Per un elenco delle autorizzazioni specifiche di cui GKE su AWS ha bisogno per ogni criterio, consulta l'elenco dei ruoli AWS IAM.