Il prodotto descritto in questa documentazione, Anthos Clusters on AWS (generazione precedente), è ora in modalità di manutenzione. Tutte le nuove installazioni devono utilizzare il prodotto di generazione attuale, Anthos clusters on AWS.

Questa pagina è stata tradotta dall'API Cloud Translation.

Authentication

GKE su AWS supporta i seguenti metodi di autenticazione:

Connetti
OpenID Connect (OIDC).

Connetti

Per accedere utilizzando la console Google Cloud con Connect, GKE su AWS può utilizzare il token di autenticazione di un account di servizio Kubernetes. Per maggiori informazioni, consulta Accedere a un cluster dalla console Google Cloud .

Il server API Kubernetes e il token ID

Dopo l'autenticazione con il cluster, puoi interagire utilizzando l'interfaccia a riga di comando kubectl di gcloud CLI. Quando kubectl chiama il server API Kubernetes per conto dell'utente, il server API verifica il token utilizzando il certificato pubblico del provider OpenID. Il server API analizza il token per conoscere l'identità dell'utente e i suoi gruppi di sicurezza.

Il server API determina se l'utente è autorizzato a effettuare questa chiamata specifica confrontando i gruppi di sicurezza dell'utente con i criteri di controllo dell'accesso basato sui ruoli (RBAC) del cluster.

OIDC

GKE su AWS supporta l'autenticazione OIDC con GKE Identity Service. GKE Identity Service supporta molti provider di identità. Per ulteriori informazioni, vedi Provider di identità supportati.

Panoramica

Con OIDC, puoi gestire l'accesso a un cluster con le procedure standard della tua organizzazione per la creazione, l'attivazione e la disattivazione degli account dei dipendenti. Puoi anche utilizzare i gruppi di sicurezza della tua organizzazione per configurare l'accesso a un cluster Kubernetes o a servizi specifici nel cluster.

Di seguito è riportato un flusso di accesso OIDC tipico:

Un utente accede a un provider OpenID presentando un nome utente e una password.
Il provider OpenID firma ed emette un token ID per l'utente.
gcloud CLI invia una richiesta HTTPS al server API Kubernetes. L'applicazione include il token ID dell'utente nell'intestazione della richiesta.
Il server API Kubernetes verifica il token utilizzando il certificato del provider.

Accedere con gcloud CLI

Esegui il comando gcloud anthos auth login per autenticarti con i tuoi cluster. gcloud CLI autentica la tua richiesta al server dell'API Kubernetes.

Per utilizzare gcloud CLI, i token ID OIDC devono essere archiviati nel file kubeconfig. Aggiungi token al file kubeconfig con gcloud anthos create-login-config. GKE su AWS utilizza gcloud CLI per richiedere e ottenere il token ID e altri valori OIDC nel file kubeconfig.

Authentication Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.