Cuando una aplicación envía una solicitud a un clúster adjunto a través de Connect, debe pasar tres puntos de control de seguridad.
La solicitud se envía primero a la API de connectgateway.googleapis.com de la API de Google Cloud, que verifica que el emisor esté autorizado para usar esa API.
Si se autoriza, la solicitud se pasa a la puerta de enlace de conexión para la autorización de Google Cloud IAM.
Si esto se realiza de forma correcta, la solicitud se pasa a la puerta de enlace de conexión al servidor kube-api del clúster para la autorización de RBAC.
Si todas estas verificaciones se realizan de forma correcta, el kube-apiserver del clúster entregará la solicitud.
Consulta Otorga roles de IAM a usuarios para obtener instrucciones para otorgar roles de IAM a los usuarios del clúster con la puerta de enlace de Connect.