Cette page explique comment restreindre l'accès en lecture aux ressources de cluster en fonction d'espaces de noms spécifiques et comment les utilisateurs disposant d'un accès limité peuvent afficher ces ressources dans la console Google Cloud. Il s'agit d'un scénario courant pour les organisations qui exécutent des clusters Kubernetes (GKE) mutualisés.
Cette page s'adresse aux spécialistes de la sécurité et aux opérateurs qui souhaitent fournir aux utilisateurs un accès limité aux ressources du cluster pour des espaces de noms spécifiques. Pour en savoir plus sur les rôles courants et les exemples de tâches que nous citons dans le contenu Google Cloud , consultez la section Rôles utilisateur et tâches courantes de l'utilisateur dans GKE Enterprise.
Avant de lire cette page, assurez-vous de maîtriser les concepts d'espace de noms suivants:
- Organiser Kubernetes avec des espaces de noms
- Bonnes pratiques pour l'architecture mutualisée d'entreprise
Activer l'accès aux ressources du cluster limité à des espaces de noms
Les autorisations de locataire vous permettent de restreindre les interactions des utilisateurs avec le cluster sur la console Google Cloud. Vous accordez aux utilisateurs l'autorisation IAM roles/container.clusterViewer, ainsi que les autorisations RBAC (contrôle des accès basé sur les rôles) pour afficher les ressources situées dans des espaces de noms spécifiques.
Pour en savoir plus sur l'utilisation des espaces de noms, consultez Organiser Kubernetes avec des espaces de noms et Bonnes pratiques d'architecture mutualisée d'entreprise.
Afficher les ressources limitées à des espaces de noms dans la console Google Cloud
Si vous disposez d'autorisations IAM ou RBAC limitées et que vous souhaitez afficher les ressources limitées à des espaces de noms dans la console Google Cloud, procédez comme suit :
Accédez à la page Charges de travail dans la console Google Cloud.
Cliquez sur la liste déroulante Espace de noms.
Cliquez sur Ajouter un filtre.
Saisissez l'espace de noms auquel vous souhaitez accéder, puis cliquez sur Enregistrer.
Cliquez sur OK.
La liste sera filtrée pour afficher l'espace de noms sélectionné.
Partager les vues enregistrées
Vous pouvez également enregistrer la liste filtrée en tant que vue enregistrée nommée. La vue enregistrée persiste entre les sessions et peut être partagée avec d'autres utilisateurs.
Pour partager une vue enregistrée, procédez comme suit :
- Sélectionnez la vue enregistrée dans la liste déroulante Vue enregistrée.
- À côté de la liste déroulante Vue enregistrée, cliquez sur , puis sur Partager.
- Cliquez sur pour copier l'URL dans la boîte de dialogue Partager la vue. Vous pouvez partager cette URL avec d'autres utilisateurs ayant besoin d'accéder au même cluster et aux mêmes espaces de noms.