Lorsqu'une application envoie une requête à un cluster associé via Connect, elle doit passer par trois points de contrôle de sécurité.
La requête est d'abord envoyée à l'API Google Cloud, l'API connectgateway.googleapis.com, qui vérifie que l'appelant est autorisé à utiliser cette API.
S'il est autorisé, la requête est ensuite transmise à la passerelle de connexion pour l'autorisation Google Cloud IAM.
Si l'opération réussit, la requête est transmise à la passerelle de connexion au serveur kube-api du cluster pour l'autorisation RBAC.
Si toutes ces vérifications aboutissent, le kube-apiserver du cluster traitera la requête.
Consultez la section Attribuer des rôles IAM aux utilisateurs pour savoir comment attribuer des rôles IAM aux utilisateurs de cluster avec la passerelle Connect.