Kubeconfig ファイルには、kubectl などの Kubernetes クライアントが Kubernetes クラスタに接続して認証するために使用するパラメータと認証情報が格納されます。Kubeconfig ファイルには、クラスタ、ユーザー、名前空間、および ID 認証メカニズムに関する情報も含まれています。このトピックでは、kubeconfig ファイルを管理するために行える操作について説明します。
操作
Alibaba Cloud Container Compute Service (ACS) は、Alibaba Cloud アカウント、Resource Access Management (RAM) ユーザー、または RAM ロールへの ID 情報を含む kubeconfig ファイルに署名して発行します。これらの kubeconfig ファイルを使用して、ACS クラスタにアクセスできます。次の表は、さまざまなシナリオで kubeconfig ファイルに対して実行できる操作について説明しています。
共同責任モデルに基づき、kubeconfig ファイルの保守はお客様の責任となります。 kubeconfig ファイルが使用可能で有効であることを確認してください。これにより、kubeconfig ファイルの漏洩によるセキュリティリスクを防ぎます。
操作 | 説明 | 参照 |
kubeconfig ファイルを取得する | インターネットまたはプライベート接続を介してクラスタに接続するために、クラスタの kubeconfig ファイルを取得できます。長期間にわたってクラスタの API サーバーに接続する必要がない場合は、一時的な kubeconfig ファイルを使用して、kubeconfig ファイルの漏洩によるセキュリティリスクを軽減することをお勧めします。 | |
kubeconfig ファイルを取り消す | RAM ユーザーまたは RAM ロールは、自身の kubeconfig ファイルを取り消すことができます。 RAM ユーザーまたは RAM ロールが kubeconfig ファイルを取り消すと、システムは自動的に新しい kubeconfig ファイルを生成し、RAM ユーザーまたは RAM ロールにバインドします。取り消された kubeconfig ファイルは無効になります。 | |
kubeconfig ファイルを削除する | 権限管理者は、自身が管理するクラスタ、RAM ユーザー、または RAM ロールの kubeconfig ファイルを一括削除できます。この場合、新しい kubeconfig ファイルは生成されません。 従業員が退職した場合、または従業員の権限を取り消す必要がある場合は、コンソールを使用して従業員に発行された kubeconfig ファイルを削除することで、潜在的なセキュリティリスクを軽減できます。 |