AuthorizationRule

Scope: Namespaced
Version: v1alpha1

Управляет настройками RBAC и авторизацией в пределах конкретного пространства имен (namespace’а).

  • specобъект

    Обязательный параметр

    • spec.accessLevelстрока

      Уровень доступа:

      • User — позволяет получать информацию обо всех объектах (включая доступ к журналам Pod’ов), но не позволяет заходить в контейнеры, читать секреты и выполнять port-forward;
      • PrivilegedUser — то же самое, что и User, но позволяет заходить в контейнеры, читать секреты, а также позволяет удалять Pod’ы (что обеспечивает возможность перезагрузки);
      • Editor — то же самое, что и PrivilegedUser, но предоставляет возможность создавать, изменять и удалять все объекты, которые обычно нужны для прикладных задач;
      • Admin — то же самое, что и Editor, но позволяет удалять служебные объекты (производные ресурсы, например, ReplicaSet, certmanager.k8s.io/challenges и certmanager.k8s.io/orders);

      Допустимые значения: User, PrivilegedUser, Editor, Admin

      Пример:

      accessLevel: PrivilegedUser
    • spec.allowScaleбулевый

      Разрешить/запретить масштабировать (выполнять scale) Deployment’ы и StatefulSet’ы.

      По умолчанию: false

    • spec.portForwardingбулевый

      Разрешить/запретить выполнять port-forward.

      По умолчанию: false

    • spec.subjectsмассив объектов

      Обязательный параметр

      Пользователи и/или группы, которым необходимо предоставить права.

      Спецификация…

      При использовании совместно с модулем user-authn, обратите внимание на следующие нюансы:

      • Для выдачи прав конкретному пользователю в качестве имени необходимо указывать его email;
      • При указании группы убедитесь, что необходимые группы допускаются к получению от провайдера, т.е. указаны в соответствующем custom resource DexProvider.
      • spec.subjects.kindстрока

        Обязательный параметр

        Тип ресурса.

        Допустимые значения: User, Group, ServiceAccount

        Пример:

        kind: Group
      • spec.subjects.nameстрока

        Обязательный параметр

        Имя ресурса.

        Пример:

        name: some-group-name
      • spec.subjects.namespaceстрока

        Namespace для ServiceAccount.

        Шаблон: [a-z0-9]([-a-z0-9]*[a-z0-9])?

        Длина: 1..63

ClusterAuthorizationRule

Scope: Cluster

v1v1alpha1

Управляет настройками RBAC и авторизацией по namespace.

  • specобъект

    Обязательный параметр

    • spec.accessLevelстрока

      Уровень доступа:

      • User — позволяет получать информацию обо всех объектах (включая доступ к журналам Pod’ов), но не позволяет заходить в контейнеры, читать секреты и выполнять port-forward;
      • PrivilegedUser — то же самое, что и User, но позволяет заходить в контейнеры, читать секреты, а также позволяет удалять Pod’ы (что обеспечивает возможность перезагрузки);
      • Editor — то же самое, что и PrivilegedUser, но предоставляет возможность создавать, изменять и удалять все объекты, которые обычно нужны для прикладных задач;
      • Admin — то же самое, что и Editor, но позволяет удалять служебные объекты (производные ресурсы, например, ReplicaSet, certmanager.k8s.io/challenges и certmanager.k8s.io/orders);
      • ClusterEditor — то же самое, что и Editor, но позволяет управлять ограниченным набором cluster-wide объектов, которые могут понадобиться для прикладных задач (ClusterXXXMetric, KeepalivedInstance, DaemonSet и т.д). Роль для работы оператора кластера.

      • ClusterAdmin — то же самое, что и ClusterEditor + Admin, но позволяет управлять служебными cluster-wide объектами (производные ресурсы, например, MachineSets, Machines, OpenstackInstanceClasses…, а так же ClusterAuthorizationRule, ClusterRoleBindings и ClusterRole). Роль для работы администратора кластера.

        Важно! т.к. ClusterAdmin уполномочен редактировать ClusterRoleBindings, он может сам себе расширить полномочия.

      • SuperAdmin — разрешены любые действия с любыми объектами, при этом ограничения namespaceSelector и limitNamespaces (см. ниже) продолжат работать.

      Допустимые значения: User, PrivilegedUser, Editor, Admin, ClusterEditor, ClusterAdmin, SuperAdmin

      Пример:

      accessLevel: PrivilegedUser
    • spec.additionalRolesмассив объектов

      Дополнительные роли, которые необходимо выдать для заданных subjects.

      Параметр сделан на крайний случай, вместо него категорически рекомендуется использовать параметр accessLevel.

      Пример:

      additionalRoles:
- apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-write-all
- apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-read-all
      • spec.additionalRoles.apiGroupстрока

        Обязательный параметр

        apiGroup для пользователей.

        Пример:

        apiGroup: rbac.authorization.k8s.io
      • spec.additionalRoles.kindстрока

        Обязательный параметр

        Kind роли.

        Допустимые значения: ClusterRole

        Пример:

        kind: ClusterRole
      • spec.additionalRoles.nameстрока

        Обязательный параметр

        Название роли.

        Пример:

        name: cluster-admin
    • spec.allowAccessToSystemNamespacesПараметр устарелбулевый

      Разрешить пользователю доступ в служебные namespace (["kube-.*", "d8-.*", "loghouse", "default"]).

      Доступно только с включённым параметром enableMultiTenancy.

      По умолчанию: false

      Доступно только в enterprise edition.

    • spec.allowScaleбулевый

      Разрешить/запретить масштабировать (выполнять scale) Deployment’ы и StatefulSet’ы.

      По умолчанию: false

    • spec.limitNamespacesПараметр устарелмассив строк

      Список разрешённых namespace в формате регулярных выражений.

      Политика:

      • Если список указан, то разрешаем доступ только по нему.
      • Если список не указан, то считаем, что разрешено всё, кроме системных namespace (см. spec.allowAccessToSystemNamespaces ниже).

      Доступно только с включённым параметром enableMultiTenancy.

      Параметр устарел, используйте вместо него параметр namespaceSelector (версия v1 custom resource’а).

      Доступно только в enterprise edition.

      Пример:

      limitNamespaces:
- production-.*
      • Элемент массивастрока
    • spec.namespaceSelectorобъект

      Определяет доступные пространства имен на основе значений, указанных в параметре namespaceSelector.labelSelector.

      Если параметр namespaceSelector указан, то значения параметров limitNamespaces и allowAccessToSystemNamespaces игнорируются. Таким образом, будут доступны все пространства имен с метками, подпадающими под указанные в параметре namespaceSelector.labelSelector условия, включая системные пространства имен.

      Если параметр namespaceSelector не указан, то набор доступных пространств имен определяется значением параметров limitNamespaces и allowAccessToSystemNamespaces. Если не указан ни один из параметров namespaceSelector, limitNamespaces и allowAccessToSystemNamespaces, то будут доступны все пространства имен, за исключением системных (kube-*, d8-*, loghouse, default).

      Доступно только с включённым параметром enableMultiTenancy.

      • spec.namespaceSelector.labelSelectorобъект

        Обязательный параметр

        Настройка фильтра меток (label) пространств имен.

        Если указаны одновременно matchExpressions и matchLabels, то учитываются оба фильтра (AND).

        • spec.namespaceSelector.labelSelector.matchExpressionsмассив объектов

          Список фильтров на основе выражений.

          • spec.namespaceSelector.labelSelector.matchExpressions.keyстрока

            Обязательный параметр

            Имя метки.

          • spec.namespaceSelector.labelSelector.matchExpressions.operatorстрока

            Обязательный параметр

            Оператор сравнения.

            Допустимые значения: In, NotIn, Exists, DoesNotExist

          • spec.namespaceSelector.labelSelector.matchExpressions.valuesмассив строк

            Значение метки.

            • Элемент массивастрока

              Шаблон: [a-z0-9]([-a-z0-9]*[a-z0-9])?

              Длина: 1..63

        • spec.namespaceSelector.labelSelector.matchLabelsобъект

          Фильтр на основе совпадения/не совпадения меток.

          Пример:

          matchLabels:
  foo: bar
  baz: who
    • spec.portForwardingбулевый

      Разрешить/запретить выполнять port-forward.

      По умолчанию: false

    • spec.subjectsмассив объектов

      Обязательный параметр

      Пользователи и/или группы, которым необходимо предоставить права.

      Спецификация…

      При использовании совместно с модулем user-authn, обратите внимание на следующие нюансы:

      • Для выдачи прав конкретному пользователю в качестве имени необходимо указывать его email;
      • При указании группы убедитесь, что необходимые группы допускаются к получению от провайдера, т.е. указаны в соответствующем custom resource DexProvider.
      • spec.subjects.kindстрока

        Обязательный параметр

        Тип ресурса.

        Допустимые значения: User, Group, ServiceAccount

        Пример:

        kind: Group
      • spec.subjects.nameстрока

        Обязательный параметр

        Имя ресурса.

        Пример:

        name: some-group-name
      • spec.subjects.namespaceстрока

        Namespace для ServiceAccount.

        Шаблон: [a-z0-9]([-a-z0-9]*[a-z0-9])?

        Длина: 1..63

Cluster-wide-ресурс для управления настройками RBAC и авторизацией

  • specобъект

    Обязательный параметр

    • spec.accessLevelстрока

      Уровень доступа:

      • User — позволяет получать информацию обо всех объектах (включая доступ к журналам Pod’ов), но не позволяет заходить в контейнеры, читать секреты и выполнять port-forward;
      • PrivilegedUser — то же самое, что и User, но позволяет заходить в контейнеры, читать секреты, а также позволяет удалять Pod’ы (что обеспечивает возможность перезагрузки);
      • Editor — то же самое, что и PrivilegedUser, но предоставляет возможность создавать, изменять и удалять все объекты, которые обычно нужны для прикладных задач;
      • Admin — то же самое, что и Editor, но позволяет удалять служебные объекты (производные ресурсы, например, ReplicaSet, certmanager.k8s.io/challenges и certmanager.k8s.io/orders);
      • ClusterEditor — то же самое, что и Editor, но позволяет управлять ограниченным набором cluster-wide объектов, которые могут понадобиться для прикладных задач (ClusterXXXMetric, KeepalivedInstance, DaemonSet и т.д). Роль для работы оператора кластера.

      • ClusterAdmin — то же самое, что и ClusterEditor + Admin, но позволяет управлять служебными cluster-wide объектами (производные ресурсы, например, MachineSets, Machines, OpenstackInstanceClasses…, а так же ClusterAuthorizationRule, ClusterRoleBindings и ClusterRole). Роль для работы администратора кластера.

        Важно! т.к. ClusterAdmin уполномочен редактировать ClusterRoleBindings, он может сам себе расширить полномочия.

      • SuperAdmin — разрешены любые действия с любыми объектами, при этом ограничения limitNamespaces (см. ниже) продолжат работать.

      Допустимые значения: User, PrivilegedUser, Editor, Admin, ClusterEditor, ClusterAdmin, SuperAdmin

      Пример:

      accessLevel: PrivilegedUser
    • spec.additionalRolesмассив объектов

      Дополнительные роли, которые необходимо выдать для заданных subjects.

      Параметр сделан на крайний случай, вместо него категорически рекомендуется использовать параметр accessLevel.

      Пример:

      additionalRoles:
- apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-write-all
- apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: cluster-read-all
      • spec.additionalRoles.apiGroupстрока

        Обязательный параметр

        apiGroup для пользователей.

        Пример:

        apiGroup: rbac.authorization.k8s.io
      • spec.additionalRoles.kindстрока

        Обязательный параметр

        Kind роли.

        Допустимые значения: ClusterRole

        Пример:

        kind: ClusterRole
      • spec.additionalRoles.nameстрока

        Обязательный параметр

        Название роли.

        Пример:

        name: cluster-admin
    • spec.allowAccessToSystemNamespacesПараметр устарелбулевый

      Разрешить пользователю доступ в служебные namespace (["kube-.*", "d8-.*", "loghouse", "default"]).

      Доступно только с включённым параметром enableMultiTenancy.

      По умолчанию: false

      Доступно только в enterprise edition.

    • spec.allowScaleбулевый

      Разрешить/запретить масштабировать (выполнять scale) Deployment’ы и StatefulSet’ы.

      По умолчанию: false

    • spec.limitNamespacesПараметр устарелмассив строк

      Список разрешённых namespace в формате регулярных выражений.

      Политика:

      • Если список указан, то разрешаем доступ только по нему.
      • Если список не указан, то считаем, что разрешено всё, кроме системных namespace (см. spec.allowAccessToSystemNamespaces ниже).

      Доступно только с включённым параметром enableMultiTenancy.

      Параметр устарел, используйте вместо него параметр namespaceSelector (версия v1 custom resource’а).

      Доступно только в enterprise edition.

      Пример:

      limitNamespaces:
- production-.*
      • Элемент массивастрока
    • spec.portForwardingбулевый

      Разрешить/запретить выполнять port-forward.

      По умолчанию: false

    • spec.subjectsмассив объектов

      Обязательный параметр

      Пользователи и/или группы, которым необходимо предоставить права.

      Спецификация…

      При использовании совместно с модулем user-authn, обратите внимание на следующие нюансы:

      • Для выдачи прав конкретному пользователю в качестве имени необходимо указывать его email;
      • При указании группы убедитесь, что необходимые группы допускаются к получению от провайдера, т.е. указаны в соответствующем custom resource DexProvider.
      • spec.subjects.kindстрока

        Обязательный параметр

        Тип ресурса.

        Допустимые значения: User, Group, ServiceAccount

        Пример:

        kind: Group
      • spec.subjects.nameстрока

        Обязательный параметр

        Имя ресурса.

        Пример:

        name: some-group-name
      • spec.subjects.namespaceстрока

        Namespace для ServiceAccount.

        Шаблон: [a-z0-9]([-a-z0-9]*[a-z0-9])?

        Длина: 1..63