[ja] Translate docs/concepts/security/service-accounts.md into Japanese #48719
+225
−0
Conversation
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
k8s-ci-robot
added
language/ja
|
[APPROVALNOTIFIER] This PR is NOT APPROVED This pull-request has been approved by: The full list of commands accepted by this bot can be found here.
Needs approval from an approver in each of these files:
Approvers can indicate their approval by writing |
k8s-ci-robot
added
sig/docs
✅ Pull request preview available for checkingBuilt without sensitive environment variables
To edit notification comments on pull requests, go to your Netlify site configuration. |
Okabe-Junya
reviewed
Nov 15, 2024
There was a problem hiding this comment.
ありがとうございます、何点かコメントさせていただいたので、適宜ご確認ください
Deploy preview: https://deploy-preview-48719--kubernetes-io-main-staging.netlify.app/ja/docs/concepts/security/service-accounts/
/label tide/merge-method-squash
| ## サービスアカウントとは? {#what-are-service-accounts} | ||
|
|
||
| サービスアカウントは、Kubernetesにおいて、Kubernetesクラスター内で固有のアイデンティティを提供する人間以外のアカウントの一種です。 | ||
| アプリケーションPod、システムコンポーネント、およびクラスター内外のエンティティは、特定のServiceAccountの資格情報を使用してそのServiceAccountとして識別できます。 |
There was a problem hiding this comment.
Suggested change
| アプリケーションPod、システムコンポーネント、およびクラスター内外のエンティティは、特定のServiceAccountの資格情報を使用してそのServiceAccountとして識別できます。 | |
| アプリケーションPod、システムコンポーネント、およびクラスター内外のエンティティは、特定のServiceAccountの認証情報を使用してそのServiceAccountとして識別できます。 |
IMO: "credentials" は認証情報に感じました
|
|
||
| * PodがKubernetes APIサーバーと通信する必要がある場合、例えば次のような場合です: | ||
| * Secretに保存されている機密情報への読み取り専用アクセスを提供します。 | ||
| * [Namespaceをまたいだアクセス](#cross-namespace)を許可する、例えば、`example` NamespaceのPodが`kube-node-lease` NamespaceのLeaseオブジェクトを読み取り、一覧、監視することを許可します。 |
There was a problem hiding this comment.
Suggested change
| * [Namespaceをまたいだアクセス](#cross-namespace)を許可する、例えば、`example` NamespaceのPodが`kube-node-lease` NamespaceのLeaseオブジェクトを読み取り、一覧、監視することを許可します。 | |
| * [Namespaceをまたいだアクセス](#cross-namespace)を許可します。例えば、`example` NamespaceのPodが`kube-node-lease` NamespaceのLeaseオブジェクトを読み取り、一覧、監視することを許可します。 |
IMO: 文章を区切った方が読み易く感じました
| * PodがKubernetes APIサーバーと通信する必要がある場合、例えば次のような場合です: | ||
| * Secretに保存されている機密情報への読み取り専用アクセスを提供します。 | ||
| * [Namespaceをまたいだアクセス](#cross-namespace)を許可する、例えば、`example` NamespaceのPodが`kube-node-lease` NamespaceのLeaseオブジェクトを読み取り、一覧、監視することを許可します。 | ||
| * Podは外部サービスと通信する必要があります。例えば、ワークロードのPodには商用クラウドAPIのアイデンティティが必要であり、商用プロバイダーは適切な信頼関係の構成を許可する場合です。 |
There was a problem hiding this comment.
Suggested change
| * Podは外部サービスと通信する必要があります。例えば、ワークロードのPodには商用クラウドAPIのアイデンティティが必要であり、商用プロバイダーは適切な信頼関係の構成を許可する場合です。 | |
| * Podが外部のサービスと通信する必要がある場合。例えば、ワークロードのPodには商用クラウドAPIのアイデンティティが必要であり、商用プロバイダーは適切な信頼関係の構成を許可する場合です。 |
| * Secretに保存されている機密情報への読み取り専用アクセスを提供します。 | ||
| * [Namespaceをまたいだアクセス](#cross-namespace)を許可する、例えば、`example` NamespaceのPodが`kube-node-lease` NamespaceのLeaseオブジェクトを読み取り、一覧、監視することを許可します。 | ||
| * Podは外部サービスと通信する必要があります。例えば、ワークロードのPodには商用クラウドAPIのアイデンティティが必要であり、商用プロバイダーは適切な信頼関係の構成を許可する場合です。 | ||
| * [`imagePullSecret`を使用してプライベートイメージレジストリに認証する](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account) |
There was a problem hiding this comment.
Suggested change
| * [`imagePullSecret`を使用してプライベートイメージレジストリに認証する](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account) | |
| * [`imagePullSecret`を使用してプライベートイメージレジストリに認証する](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account)場合。 |
| * [Namespaceをまたいだアクセス](#cross-namespace)を許可する、例えば、`example` NamespaceのPodが`kube-node-lease` NamespaceのLeaseオブジェクトを読み取り、一覧、監視することを許可します。 | ||
| * Podは外部サービスと通信する必要があります。例えば、ワークロードのPodには商用クラウドAPIのアイデンティティが必要であり、商用プロバイダーは適切な信頼関係の構成を許可する場合です。 | ||
| * [`imagePullSecret`を使用してプライベートイメージレジストリに認証する](/docs/tasks/configure-pod-container/configure-service-account/#add-imagepullsecrets-to-a-service-account) | ||
| * 外部サービスはKubernetes APIサーバーと通信する必要があります。例えば、CI/CDパイプラインの一部としてクラスターに認証する必要がある場合です。 |
There was a problem hiding this comment.
Suggested change
| * 外部サービスはKubernetes APIサーバーと通信する必要があります。例えば、CI/CDパイプラインの一部としてクラスターに認証する必要がある場合です。 | |
| * 外部サービスがKubernetes APIサーバーと通信する必要がある場合。例えば、CI/CDパイプラインの一部としてクラスターに認証する必要がある場合です。 |
| ## サービスアカウント資格情報の認証 {#authenticating-credentials} | ||
|
|
||
| ServiceAccountは、Kubernetes APIサーバーおよび信頼関係が存在する他のシステムに対して、署名された{{<glossary_tooltip term_id="jwt" text="JSON Web Tokens">}} (JWTs) を使用して認証を行います。 | ||
| トークンの発行方法(`TokenRequest`を使用して時間制限付きで発行されるか、Secretを使用して従来のメカニズムで発行されるか)に応じて、ServiceAccountトークンには有効期限、オーディエンス、トークンが*有効になる*時間などが含まれる場合があります。 |
There was a problem hiding this comment.
Suggested change
| トークンの発行方法(`TokenRequest`を使用して時間制限付きで発行されるか、Secretを使用して従来のメカニズムで発行されるか)に応じて、ServiceAccountトークンには有効期限、オーディエンス、トークンが*有効になる*時間などが含まれる場合があります。 | |
| トークンの発行方法(`TokenRequest`を使用して時間制限付きで発行されるか、Secretを使用して従来のメカニズムで発行されるか)に応じて、ServiceAccountトークンには有効期限、オーディエンス、トークンが*有効になる*時間などが含まれる場合があります。 |
nit: カッコは半角統一でお願いします
FYI: https://kubernetes.io/ja/docs/contribute/localization/
記号類は感嘆符「!」と疑問符「?」のみ全角、それ以外は半角で表記
| 1. オーディエンス要求を確認します。 | ||
|
|
||
| TokenRequest APIは、ServiceAccountに _バインドされたトークン_ を生成します。 | ||
| このバインディングは、そのServiceAccountとして機能しているクライアント(Podなど)のライフタイムにリンクされています |
There was a problem hiding this comment.
Suggested change
| このバインディングは、そのServiceAccountとして機能しているクライアント(Podなど)のライフタイムにリンクされています | |
| このバインディングは、そのServiceAccountとして機能しているクライアント(Podなど)のライフタイムにリンクされています |
|
|
||
| ## 代替案 | ||
|
|
||
| * 別のメカにずみを使用して独自のトークンを発行し、[Webhookトークン認証](/docs/reference/access-authn-authz/authentication/#webhook-token-authentication)を使用して、独自の検証サービスを使用してBearerトークンを検証します。 |
There was a problem hiding this comment.
Suggested change
| * 別のメカにずみを使用して独自のトークンを発行し、[Webhookトークン認証](/docs/reference/access-authn-authz/authentication/#webhook-token-authentication)を使用して、独自の検証サービスを使用してBearerトークンを検証します。 | |
| * 別のメカニズムを使用して独自のトークンを発行し、[Webhookトークン認証](/docs/reference/access-authn-authz/authentication/#webhook-token-authentication)を使用して、独自の検証サービスを使用してBearerトークンを検証します。 |
Comment on lines
+214
to
+216
| * Use service accounts or user accounts created using an external Identity | ||
| and Access Management (IAM) service, such as from a cloud provider, to | ||
| authenticate to your cluster. |
|
|
||
| ## {{% heading "whatsnext" %}} | ||
|
|
||
| * [クラスターの管理者としてServiceAccountを管理する]((/docs/reference/access-authn-authz/service-accounts-admin/))方法を学ぶ |
There was a problem hiding this comment.
Suggested change
| * [クラスターの管理者としてServiceAccountを管理する]((/docs/reference/access-authn-authz/service-accounts-admin/))方法を学ぶ | |
| * [クラスターの管理者としてServiceAccountを管理する](/docs/reference/access-authn-authz/service-accounts-admin/)方法を学ぶ |
k8s-ci-robot
added
the
tide/merge-method-squash
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
/language ja
Description
Translate
docs/concepts/security/service-accounts.mdinto Japanese.Issue
Closes: #47546