クラスタ管理者は、開発者などの他のユーザーにクラスタへのアクセス権を付与できます。開発者は、ユーザー アカウントを使用して直接、またはサービス アカウントを使用して間接的に、クラスタにポッドをデプロイできます。詳細については、『 vSphere IaaS 制御プレーンでの TKG サービスの使用』の Grant Developers SSO Access to Workload Clustersを参照してください。

• ユーザー アカウント認証の場合、Tanzu Kubernetes クラスタは vCenter Single Sign-On のユーザーとグループをサポートします。ユーザーまたはグループは、vCenter Server のローカルであるか、サポートされているディレクトリ サーバから同期されます。
• サービス アカウント認証の場合は、サービス トークンを使用できます。詳細については、Kubernetes のドキュメントを参照してください。

開発者にクラスタ アクセスを許可するには：

1. ユーザーまたはグループの Role または ClusterRole を定義し、クラスタに適用します。詳細については、Kubernetes のドキュメントを参照してください。
2. ユーザーまたはグループの RoleBinding または ClusterRoleBinding を作成し、クラスタに適用します。次の例を参照してください。

vCenter Single Sign-On のユーザーまたはグループにアクセス権を付与するには、RoleBinding のサブジェクトに name パラメータの値として次のいずれかを含める必要があります。

表 1. サポートされているユーザーおよびグループのフィールド

フィールド	説明
sso:USER-NAME@DOMAIN	たとえば、sso:[email protected] などのローカル ユーザー名です。
sso:GROUP-NAME@DOMAIN	たとえば、sso:[email protected] などの vCenter Server と統合されたディレクトリ サーバのグループ名です。

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: rolebinding-cluster-user-joe
  namespace: default
roleRef:
  kind: ClusterRole
  name: edit                             #Default ClusterRole
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: User
  name: sso:[email protected]            #sso:<username>@<domain>
  apiGroup: rbac.authorization.k8s.io