Identity and Access Management API の概要

Identity and Access Management（IAM）API は、Kubernetes カスタム リソースを使用して、ID プロバイダの制御アクセスを管理します。

IAM API を使用するには、GDC コンソールを使用します。アプリケーションで独自のライブラリを使用して API を呼び出す場合は、次のセクションのサービス エンドポイントの例と、リクエストの作成に使用する完全な API 定義を採用します。

• iam.gdc.goog
• iam.global.gdc.goog

サービス エンドポイントとディスカバリ ドキュメント

IAM API は、ゾーン デプロイまたはグローバル デプロイに応じて 2 つのパッケージで提供されます。

ゾーン IAM API とグローバル IAM API の API エンドポイントは、それぞれ次のとおりです。

• https://MANAGEMENT_API_SERVER_ENDPOINT/apis/iam.gdc.goog/v1
• https://MANAGEMENT_API_SERVER_ENDPOINT/apis/iam.global.gdc.goog/v1

MANAGEMENT_API_SERVER_ENDPOINT 変数は、Management API サーバーのエンドポイントです。

kubectl proxy コマンドを使用して、ブラウザで URL にアクセスし、IAM API のディスカバリ ドキュメントを取得します。kubectl proxy コマンドは、ローカルマシンの 127.0.0.1:8001 から Kubernetes API サーバーへのプロキシを開きます。このコマンドの実行後、次の URL でドキュメントにアクセスします。

• http://127.0.0.1:8001/apis/iam.gdc.goog/v1
• http://127.0.0.1:8001/apis/iam.global.gdc.goog/v1

サンプル リソース

IdentityProviderConfig リソースの例を次に示します。

apiVersion: iam.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: example-provider
  namespace: platform
spec:
  - oidc:
    clientID: clientID
    clientSecret: clientSecret
    groupPrefix: example-
    groupsClaim: groups
    issuerURI: https://test-oidc-provider.example.com
    scopes: openid email profile
    userClaim: user-email@example.com
    userPrefix: example-