AuthorizationRule
Scope: Namespaced
Version: v1alpha1
Управляет настройками RBAC и авторизацией в пределах конкретного пространства имен (namespace’а).
- объект
Обязательный параметр
- строка
Уровень доступа:
User
— позволяет получать информацию обо всех объектах (включая доступ к журналам Pod’ов), но не позволяет заходить в контейнеры, читать секреты и выполнять port-forward;PrivilegedUser
— то же самое, что и User, но позволяет заходить в контейнеры, читать секреты, а также позволяет удалять Pod’ы (что обеспечивает возможность перезагрузки);Editor
— то же самое, что иPrivilegedUser
, но предоставляет возможность создавать, изменять и удалять все объекты, которые обычно нужны для прикладных задач;Admin
— то же самое, что и Editor, но позволяет удалять служебные объекты (производные ресурсы, например,ReplicaSet
,certmanager.k8s.io/challenges
иcertmanager.k8s.io/orders
);
Допустимые значения:
User
,PrivilegedUser
,Editor
,Admin
Пример:
accessLevel: PrivilegedUser
- булевый
Разрешить/запретить масштабировать (выполнять scale) Deployment’ы и StatefulSet’ы.
По умолчанию:
false
- булевый
Разрешить/запретить выполнять
port-forward
.По умолчанию:
false
- массив объектов
Обязательный параметр
Пользователи и/или группы, которым необходимо предоставить права.
При использовании совместно с модулем user-authn, обратите внимание на следующие нюансы:
- Для выдачи прав конкретному пользователю в качестве имени необходимо указывать его
email
; - При указании группы убедитесь, что необходимые группы допускаются к получению от провайдера, т.е. указаны в соответствующем custom resource DexProvider.
- строка
Обязательный параметр
Тип ресурса.
Допустимые значения:
User
,Group
,ServiceAccount
Пример:
kind: Group
- строка
Обязательный параметр
Имя ресурса.
Пример:
name: some-group-name
- строка
Namespace для ServiceAccount.
Шаблон:
[a-z0-9]([-a-z0-9]*[a-z0-9])?
Длина:
1..63
- Для выдачи прав конкретному пользователю в качестве имени необходимо указывать его
- строка