Identity and Access Management API 概览

Identity and Access Management (IAM) API 使用 Kubernetes 自定义资源来管理身份提供方的访问权限控制。

如需使用 IAM API,请使用 GDC 控制台。如果您的应用使用自己的库来调用 API,请采用下一部分中的示例服务端点和完整的 API 定义来构建请求:

服务端点和发现文档

IAM API 以两种软件包的形式提供,具体取决于可用区级部署或全球部署。

可用区级 IAM API 和全局 IAM API 的 API 端点分别如下所示:

  • https://MANAGEMENT_API_SERVER_ENDPOINT/apis/iam.gdc.goog/v1
  • https://MANAGEMENT_API_SERVER_ENDPOINT/apis/iam.global.gdc.goog/v1

MANAGEMENT_API_SERVER_ENDPOINT 变量是 Management API 服务器的端点。

使用 kubectl proxy 命令,在浏览器中访问相应网址,以获取 IAM API 的发现文档。kubectl proxy 命令会在本地机器上为 Kubernetes API 服务器打开 127.0.0.1:8001 上的代理。该命令运行后,请访问以下网址中的文档:

  • http://127.0.0.1:8001/apis/iam.gdc.goog/v1
  • http://127.0.0.1:8001/apis/iam.global.gdc.goog/v1

示例资源

以下是 IdentityProviderConfig 资源的示例:

apiVersion: iam.gdc.goog/v1
kind: IdentityProviderConfig
metadata:
  name: example-provider
  namespace: platform
spec:
  - oidc:
    clientID: clientID
    clientSecret: clientSecret
    groupPrefix: example-
    groupsClaim: groups
    issuerURI: https://test-oidc-provider.example.com
    scopes: openid email profile
    userClaim: user-email@example.com
    userPrefix: example-