Descripción general de seguridad

Cuando una aplicación envía una solicitud a un clúster adjunto a través de Connect, debe pasar tres puntos de control de seguridad.

  1. La solicitud primero se envía a la API de connectgateway.googleapis.com de la API de Google Cloud, que verifica que el emisor esté autorizado para usar esa API.

  2. Si se autoriza, la solicitud se pasa a la puerta de enlace de conexión para la autorización de Google Cloud IAM.

  3. Si esto se realiza de forma correcta, la solicitud se pasa a la puerta de enlace de conexión al servidor kube-api del clúster para la autorización de RBAC.

Si todas estas verificaciones se realizan de forma correcta, el kube-apiserver del clúster entregará la solicitud.

Consulta Otorga roles de IAM a usuarios para obtener instrucciones para otorgar roles de IAM a los usuarios del clúster con la puerta de enlace de Connect.