Quando un'applicazione invia una richiesta a un cluster collegato tramite Connect, deve superare tre controlli di sicurezza.
La richiesta viene prima inviata all'API connectgateway.googleapis.com dell'API Google Cloud, che verifica che il chiamante sia autorizzato a utilizzare l'API.
Se autorizzata, la richiesta viene passata al gateway di connessione per l'autorizzazione IAM di Google Cloud.
Se l'operazione riesce, la richiesta viene passata al gateway di connessione al server kube-api del cluster per l'autorizzazione RBAC.
Se tutti questi controlli hanno esito positivo, il kube-apiserver del cluster gestirà la richiesta.
Consulta Concedi ruoli IAM agli utenti per istruzioni su come concedere ruoli IAM agli utenti del cluster con Connect Gateway.