RBAC API

OpenShift Container Platform 4.17

RBAC API 的参考指南

Red Hat OpenShift Documentation Team

法律通告

摘要

本文档描述了 OpenShift Container Platform RBAC API 对象及其详细规格。

第 1 章 RBAC API

1.1. ClusterRoleBinding [rbac.authorization.k8s.io/v1]

描述: ClusterRoleBinding 引用 ClusterRole，但不包含它。它可以引用全局命名空间中的 ClusterRole，并通过 Subject 添加哪些信息。
类型: 对象

1.2. ClusterRole [rbac.authorization.k8s.io/v1]

描述: ClusterRole 是一个集群级别，PolicyRules 的逻辑分组，可由 RoleBinding 或 ClusterRoleBinding 作为单元引用。
类型: 对象

1.3. RoleBinding [rbac.authorization.k8s.io/v1]

描述: Rolebinding 引用角色，但不包含该角色。它可以引用同一命名空间中的角色，或引用全局命名空间中的 ClusterRole。它通过 Subjects 和命名空间信息添加它所在的命名空间的信息。给定命名空间中的 rolebindings 仅在该命名空间中有效。
类型: 对象

1.4. Role [rbac.authorization.k8s.io/v1]

描述: Role (role)是一个命名空间(PolicyRules)的逻辑分组，它可以被 RoleBinding 作为单元引用。
类型: 对象

第 2 章 ClusterRoleBinding [rbac.authorization.k8s.io/v1]

描述

ClusterRoleBinding 引用 ClusterRole，但不包含它。它可以引用全局命名空间中的 ClusterRole，并通过 Subject 添加哪些信息。

类型

object

必填

roleRef

2.1. 规格

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`roleRef`	`对象`	roleRef 包含指向正在使用的角色的信息
`subjects`	`array`	subjects 包含对角色适用的对象的引用。
`subjects[]`	`对象`	subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

2.1.1. .roleRef

描述

roleRef 包含指向正在使用的角色的信息

类型

object

必填

apiGroup
kind
name

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 是所引用资源的组
`kind`	`字符串`	kind 是被引用的资源类型
`name`	`字符串`	name 是被引用的资源的名称

2.1.2. .subjects

描述: subjects 包含对角色适用的对象的引用。
类型: array

2.1.3. .subjects[]

描述

subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

类型

object

必填

kind
name

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 包含引用的主题的 API 组。ServiceAccount 主题默认为 ""。对于 User 和 Group 主题，默认为 "rbac.authorization.k8s.io"。
`kind`	`字符串`	被引用的对象类型。此 API 组定义的值为 "User", "Group", 和 "ServiceAccount"。如果 Authorizer 没有识别 kind 值，则 Authorizer 应该报告错误。
`name`	`字符串`	被引用的对象名称。
`namespace`	`字符串`	所引用对象的命名空间。如果对象类型是非命名空间，如 "User" 或 "Group"，则这个值不会为空，Authorizer 应该报告错误。

2.2. API 端点

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/clusterrolebindings
- DELETE ：删除 ClusterRoleBinding 的集合
- GET: 列出或监视类型为 ClusterRoleBinding 的对象
- POST ：创建 ClusterRoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings
- GET: 观察单个对 ClusterRoleBinding 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}
- DELETE ：删除 ClusterRoleBinding
- GET ：读取指定的 ClusterRoleBinding
- PATCH: 部分更新指定的 ClusterRoleBinding
- PUT ：替换指定的 ClusterRoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}
- GET: 观察对类型为 ClusterRoleBinding 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤为带有 'fieldSelector' 参数的单个项目。

2.2.1. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings

HTTP 方法: DELETE
描述: 删除 ClusterRoleBinding 集合

表 2.1. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 2.2. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 ClusterRoleBinding 的对象

表 2.3. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBindingList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建 ClusterRoleBinding

表 2.4. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 2.5. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRoleBinding` 模式

表 2.6. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
201 - Created	`ClusterRoleBinding` 模式
202 - Accepted	`ClusterRoleBinding` 模式
401 - Unauthorized	空

2.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings

HTTP 方法: GET
描述: 观察单个对 ClusterRoleBinding 列表的更改。已弃用：使用带列表操作的 'watch' 参数。

表 2.7. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

2.2.3. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}

表 2.8. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRoleBinding 的名称

HTTP 方法: DELETE
描述: 删除 ClusterRoleBinding

表 2.9. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 2.10. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 阅读指定的 ClusterRoleBinding

表 2.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 ClusterRoleBinding

表 2.12. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 2.13. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
201 - Created	`ClusterRoleBinding` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 ClusterRoleBinding

表 2.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 2.15. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRoleBinding` 模式

表 2.16. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleBinding` 模式
201 - Created	`ClusterRoleBinding` 模式
401 - Unauthorized	空

2.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}

表 2.17. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRoleBinding 的名称

HTTP 方法: GET
描述: 观察对类型为 ClusterRoleBinding 的对象的更改。已弃用：使用带列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

表 2.18. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

第 3 章 ClusterRole [rbac.authorization.k8s.io/v1]

描述: ClusterRole 是一个集群级别，PolicyRules 的逻辑分组，可由 RoleBinding 或 ClusterRoleBinding 作为单元引用。
类型: 对象

3.1. 规格

属性	类型	描述
`aggregationRule`	`对象`	AggregationRule 描述了如何定位 ClusterRole 以聚合到 ClusterRole
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`rules`	`array`	规则包含此 ClusterRole 的所有 PolicyRules
`rules[]`	`object`	PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

3.1.1. .aggregationRule

描述: AggregationRule 描述了如何定位 ClusterRole 以聚合到 ClusterRole
类型: object

属性	类型	描述
`clusterRoleSelectors`	`数组(LabelSelector)`	ClusterRoleSelectors 包含用来查找 ClusterRole 并创建规则的选择器列表。如果任何选择器匹配，则会添加 ClusterRole 的权限

3.1.2. .rules

描述: 规则包含此 ClusterRole 的所有 PolicyRules
类型: array

3.1.3. .rules[]

描述

PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

类型

object

必填

verbs

属性	类型	描述
`apiGroups`	`数组（字符串）`	APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组，则允许针对任何 API 组中的一个枚举资源请求的任何操作。"" 代表核心 API 组，"*"代表所有 API 组。
`nonResourceURLs`	`数组（字符串）`	NonResourceURLs 是一组用户应该有权访问的部分 url。OpenShift 被允许，但只作为完整的、最终的步骤在路径 Since 非资源 URL 中不是命名空间，此字段仅适用于从 ClusterRoleBinding 引用的 ClusterRole。规则可以应用到 API 资源（如 "pods" 或 "secrets"）或非资源 URL 路径（如 "/api"），但不能同时应用这两个资源。
`resourceNames`	`数组（字符串）`	resourceNames 是一个可选的规则应用到的名称白名单。空集表示所有都会被允许。
`resources`	`数组（字符串）`	resources 是此规则应用到的资源列表。'*' 代表所有资源。
`verbs`	`数组（字符串）`	verbs 是一个 Verbs 列表，适用于此规则中包含的 all ResourceKinds。'*' 代表所有操作动词。

3.2. API 端点

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/clusterroles
- DELETE ：删除 ClusterRole 集合
- GET: 列出或监视类型为 ClusterRole 的对象
- POST ：创建 ClusterRole
/apis/rbac.authorization.k8s.io/v1/watch/clusterroles
- GET: 观察单个对 ClusterRole 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/clusterroles/{name}
- DELETE ：删除 ClusterRole
- GET ：读取指定的 ClusterRole
- PATCH: 部分更新指定的 ClusterRole
- PUT ：替换指定的 ClusterRole
/apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}
- GET: 观察对类型为 ClusterRole 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

3.2.1. /apis/rbac.authorization.k8s.io/v1/clusterroles

HTTP 方法: DELETE
描述: 删除 ClusterRole 集合

表 3.1. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 3.2. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 ClusterRole 的对象

表 3.3. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRoleList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建 ClusterRole

表 3.4. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 3.5. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRole` 模式

表 3.6. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
201 - Created	`ClusterRole` 模式
202 - Accepted	`ClusterRole` 模式
401 - Unauthorized	空

3.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles

HTTP 方法: GET
描述: 观察单个对 ClusterRole 列表的更改。已弃用：使用带有列表操作的 'watch' 参数。

表 3.7. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

3.2.3. /apis/rbac.authorization.k8s.io/v1/clusterroles/{name}

表 3.8. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRole 的名称

HTTP 方法: DELETE
描述: 删除 ClusterRole

表 3.9. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 3.10. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 读取指定的 ClusterRole

表 3.11. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 ClusterRole

表 3.12. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 3.13. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
201 - Created	`ClusterRole` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 ClusterRole

表 3.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 3.15. 主体参数
参数	类型	描述
`正文（body）`	`ClusterRole` 模式

表 3.16. HTTP 响应
HTTP 代码	响应正文
200 - OK	`ClusterRole` 模式
201 - Created	`ClusterRole` 模式
401 - Unauthorized	空

3.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}

表 3.17. 全局路径参数
参数	类型	描述
`name`	`字符串`	ClusterRole 的名称

HTTP 方法: GET
描述: 观察对类型为 ClusterRole 的对象的更改。已弃用：使用带有列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

表 3.18. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

第 4 章 RoleBinding [rbac.authorization.k8s.io/v1]

描述

Rolebinding 引用角色，但不包含该角色。它可以引用同一命名空间中的角色，或引用全局命名空间中的 ClusterRole。它通过 Subjects 和命名空间信息添加它所在的命名空间的信息。给定命名空间中的 rolebindings 仅在该命名空间中有效。

类型

object

必填

roleRef

4.1. 规格

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`roleRef`	`对象`	roleRef 包含指向正在使用的角色的信息
`subjects`	`array`	subjects 包含对角色适用的对象的引用。
`subjects[]`	`对象`	subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

4.1.1. .roleRef

描述

roleRef 包含指向正在使用的角色的信息

类型

object

必填

apiGroup
kind
name

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 是所引用资源的组
`kind`	`字符串`	kind 是被引用的资源类型
`name`	`字符串`	name 是被引用的资源的名称

4.1.2. .subjects

描述: subjects 包含对角色适用的对象的引用。
类型: array

4.1.3. .subjects[]

描述

subject 包含对角色绑定应用到的对象或用户身份的引用。这可以保存直接 API 对象引用，也可以是非对象（如用户和组群名称）的值。

类型

object

必填

kind
name

属性	类型	描述
`apiGroup`	`字符串`	APIGroup 包含引用的主题的 API 组。ServiceAccount 主题默认为 ""。对于 User 和 Group 主题，默认为 "rbac.authorization.k8s.io"。
`kind`	`字符串`	被引用的对象类型。此 API 组定义的值为 "User", "Group", 和 "ServiceAccount"。如果 Authorizer 没有识别 kind 值，则 Authorizer 应该报告错误。
`name`	`字符串`	被引用的对象名称。
`namespace`	`字符串`	所引用对象的命名空间。如果对象类型是非命名空间，如 "User" 或 "Group"，则这个值不会为空，Authorizer 应该报告错误。

4.2. API 端点

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/rolebindings
- GET ：列出或监视类型为 RoleBinding 的对象
/apis/rbac.authorization.k8s.io/v1/watch/rolebindings
- GET: 观察单个对 RoleBinding 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings
- DELETE ：删除 RoleBinding 集合
- GET ：列出或监视类型为 RoleBinding 的对象
- POST ：创建 RoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings
- GET: 观察单个对 RoleBinding 列表的更改。已弃用：使用带有 list 操作的 'watch' 参数。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}
- DELETE ：删除 RoleBinding
- GET ：读取指定的 RoleBinding
- PATCH: 部分更新指定的 RoleBinding
- PUT ：替换指定的 RoleBinding
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}
- GET: 观察对类型为 RoleBinding 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

4.2.1. /apis/rbac.authorization.k8s.io/v1/rolebindings

HTTP 方法: GET
描述: 列出或监视类型为 RoleBinding 的对象

表 4.1. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleBindingList` 模式
401 - Unauthorized	空

4.2.2. /apis/rbac.authorization.k8s.io/v1/watch/rolebindings

HTTP 方法: GET
描述: 观察单个对 RoleBinding 列表的更改。已弃用：改为使用 'watch' 参数和列表操作。

表 4.2. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

4.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings

HTTP 方法: DELETE
描述: 删除 RoleBinding 集合

表 4.3. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 4.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 RoleBinding 的对象

表 4.5. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleBindingList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建 RoleBinding

表 4.6. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 4.7. 主体参数
参数	类型	描述
`正文（body）`	`Rolebinding` 模式

表 4.8. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
201 - Created	`Rolebinding` 模式
202 - Accepted	`Rolebinding` 模式
401 - Unauthorized	空

4.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings

HTTP 方法: GET
描述: 观察单个对 RoleBinding 列表的更改。已弃用：改为使用 'watch' 参数和列表操作。

表 4.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

4.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}

表 4.10. 全局路径参数
参数	类型	描述
`name`	`字符串`	RoleBinding 的名称

HTTP 方法: DELETE
描述: 删除 RoleBinding

表 4.11. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 4.12. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 读取指定的 RoleBinding

表 4.13. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的 RoleBinding

表 4.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 4.15. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
201 - Created	`Rolebinding` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的 RoleBinding

表 4.16. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 4.17. 主体参数
参数	类型	描述
`正文（body）`	`Rolebinding` 模式

表 4.18. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Rolebinding` 模式
201 - Created	`Rolebinding` 模式
401 - Unauthorized	空

4.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}

表 4.19. 全局路径参数
参数	类型	描述
`name`	`字符串`	RoleBinding 的名称

HTTP 方法: GET
描述: 观察对类型为 RoleBinding 的对象的更改。已弃用：使用带有列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

表 4.20. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

第 5 章 Role [rbac.authorization.k8s.io/v1]

描述: Role (role)是一个命名空间(PolicyRules)的逻辑分组，它可以被 RoleBinding 作为单元引用。
类型: 对象

5.1. 规格

属性	类型	描述
`apiVersion`	`字符串`	APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值，并可拒绝未识别的值。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources
`kind`	`字符串`	kind 是一个字符串值，代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息： https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds
`metadata`	`ObjectMeta`	标准对象元数据。
`rules`	`array`	规则包含此角色的所有 PolicyRules
`rules[]`	`object`	PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

5.1.1. .rules

描述: 规则包含此角色的所有 PolicyRules
类型: array

5.1.2. .rules[]

描述

PolicyRule 包含描述策略规则的信息，但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。

类型

object

必填

verbs

属性	类型	描述
`apiGroups`	`数组（字符串）`	APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组，则允许针对任何 API 组中的一个枚举资源请求的任何操作。"" 代表核心 API 组，"*"代表所有 API 组。
`nonResourceURLs`	`数组（字符串）`	NonResourceURLs 是一组用户应该有权访问的部分 url。OpenShift 被允许，但只作为完整的、最终的步骤在路径 Since 非资源 URL 中不是命名空间，此字段仅适用于从 ClusterRoleBinding 引用的 ClusterRole。规则可以应用到 API 资源（如 "pods" 或 "secrets"）或非资源 URL 路径（如 "/api"），但不能同时应用这两个资源。
`resourceNames`	`数组（字符串）`	resourceNames 是一个可选的规则应用到的名称白名单。空集表示所有都会被允许。
`resources`	`数组（字符串）`	resources 是此规则应用到的资源列表。'*' 代表所有资源。
`verbs`	`数组（字符串）`	verbs 是一个 Verbs 列表，适用于此规则中包含的 all ResourceKinds。'*' 代表所有操作动词。

5.2. API 端点

可用的 API 端点如下：

/apis/rbac.authorization.k8s.io/v1/roles
- GET ：列出或监视类型为 Role 的对象
/apis/rbac.authorization.k8s.io/v1/watch/roles
- GET: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数及列表操作。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles
- DELETE ：删除角色集合
- GET ：列出或监视类型为 Role 的对象
- POST ：创建角色
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles
- GET: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数及列表操作。
/apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}
- DELETE ：删除角色
- GET ：读取指定的角色
- PATCH: 部分更新指定的角色
- PUT ：替换指定的角色
/apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}
- GET: 观察对类型为 Role 的对象的更改。已弃用：使用带有 list 操作的 'watch' 参数，而是过滤到带有 'fieldSelector' 参数的单个项目。

5.2.1. /apis/rbac.authorization.k8s.io/v1/roles

HTTP 方法: GET
描述: 列出或监视类型为 Role 的对象

表 5.1. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleList` 模式
401 - Unauthorized	空

5.2.2. /apis/rbac.authorization.k8s.io/v1/watch/roles

HTTP 方法: GET
描述: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数以及列表操作。

表 5.2. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

5.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles

HTTP 方法: DELETE
描述: 删除角色集合

表 5.3. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 5.4. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 列出或监视类型为 Role 的对象

表 5.5. HTTP 响应
HTTP 代码	响应正文
200 - OK	`RoleList` 模式
401 - Unauthorized	空

HTTP 方法: POST
描述: 创建角色

表 5.6. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 5.7. 主体参数
参数	类型	描述
`正文（body）`	`Role` 模式

表 5.8. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
201 - Created	`Role` 模式
202 - Accepted	`Role` 模式
401 - Unauthorized	空

5.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles

HTTP 方法: GET
描述: 观察单个对 Role 列表的更改。已弃用：改为使用 'watch' 参数以及列表操作。

表 5.9. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

5.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}

表 5.10. 全局路径参数
参数	类型	描述
`name`	`字符串`	角色的名称

HTTP 方法: DELETE
描述: 删除角色

表 5.11. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理

表 5.12. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Status` 模式
202 - Accepted	`Status` 模式
401 - Unauthorized	空

HTTP 方法: GET
描述: 读取指定的角色

表 5.13. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
401 - Unauthorized	空

HTTP 方法: PATCH
描述: 部分更新指定的角色

表 5.14. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 5.15. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
201 - Created	`Role` 模式
401 - Unauthorized	空

HTTP 方法: PUT
描述: 替换指定的角色

表 5.16. 查询参数
参数	类型	描述
`dryRun`	`字符串`	出现时，表示不应保留修改。无效的或未被识别的 dryRun 指令将导致错误响应，且请求不会被进一步处理。有效值为： - All: 所有预演阶段都将被处理
`fieldValidation`	`string`	fieldValidation 指示服务器如何处理包含了未知或重复字段的请求 (POST/PUT/PATCH) 中的对象。有效值为： - Ignore ：忽略从对象中静默丢弃的未知字段，并将忽略所有除最后一个重复字段以外的所有字段。这是 v1.23 版本之前的默认行为- Warn: 这会通过标准的警告响应头为从对象丢弃的每个未知字段以及遇到的每个重复字段，发送警告。如果没有其他错误，请求仍会成功，且只保留重复字段的最后一个。这是 v1.23+ 的的默认行为 - Strict: 如果从对象中删除了任何未知字段，或者存在任何重复字段，请求将失败并带有 BadRequest 错误。从服务器返回的错误将包含遇到的，以及重复的字段。

表 5.17. 主体参数
参数	类型	描述
`正文（body）`	`Role` 模式

表 5.18. HTTP 响应
HTTP 代码	响应正文
200 - OK	`Role` 模式
201 - Created	`Role` 模式
401 - Unauthorized	空

5.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}

表 5.19. 全局路径参数
参数	类型	描述
`name`	`字符串`	角色的名称

HTTP 方法: GET
描述: 观察对类型为 Role 的对象的更改。已弃用：使用带列表操作的 'watch' 参数，而是过滤成带有 'fieldSelector' 参数的单个项目。

表 5.20. HTTP 响应
HTTP 代码	响应正文
200 - OK	`WatchEvent` 模式
401 - Unauthorized	空

Legal Notice

OpenShift documentation is licensed under the Apache License 2.0 (https://www.apache.org/licenses/LICENSE-2.0).

Modified versions must remove all Red Hat trademarks.

Portions adapted from https://github.com/kubernetes-incubator/service-catalog/ with modifications by Red Hat.

Red Hat, Red Hat Enterprise Linux, the Red Hat logo, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation’s permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

RBAC API

RBAC API 的参考指南

第 1 章 RBAC API

1.1. ClusterRoleBinding [rbac.authorization.k8s.io/v1]

1.2. ClusterRole [rbac.authorization.k8s.io/v1]

1.3. RoleBinding [rbac.authorization.k8s.io/v1]

1.4. Role [rbac.authorization.k8s.io/v1]

第 2 章 ClusterRoleBinding [rbac.authorization.k8s.io/v1]

2.1. 规格

2.1.1. .roleRef

2.1.2. .subjects

2.1.3. .subjects[]

2.2. API 端点

2.2.1. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings

2.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings

2.2.3. /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/{name}

2.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterrolebindings/{name}

第 3 章 ClusterRole [rbac.authorization.k8s.io/v1]

3.1. 规格

3.1.1. .aggregationRule

3.1.2. .rules

3.1.3. .rules[]

3.2. API 端点

3.2.1. /apis/rbac.authorization.k8s.io/v1/clusterroles

3.2.2. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles

3.2.3. /apis/rbac.authorization.k8s.io/v1/clusterroles/{name}

3.2.4. /apis/rbac.authorization.k8s.io/v1/watch/clusterroles/{name}

第 4 章 RoleBinding [rbac.authorization.k8s.io/v1]

4.1. 规格

4.1.1. .roleRef

4.1.2. .subjects

4.1.3. .subjects[]

4.2. API 端点

4.2.1. /apis/rbac.authorization.k8s.io/v1/rolebindings

4.2.2. /apis/rbac.authorization.k8s.io/v1/watch/rolebindings

4.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings

4.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings

4.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/rolebindings/{name}

4.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/rolebindings/{name}

第 5 章 Role [rbac.authorization.k8s.io/v1]

5.1. 规格

5.1.1. .rules

5.1.2. .rules[]

5.2. API 端点

5.2.1. /apis/rbac.authorization.k8s.io/v1/roles

5.2.2. /apis/rbac.authorization.k8s.io/v1/watch/roles

5.2.3. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles

5.2.4. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles

5.2.5. /apis/rbac.authorization.k8s.io/v1/namespaces/{namespace}/roles/{name}

5.2.6. /apis/rbac.authorization.k8s.io/v1/watch/namespaces/{namespace}/roles/{name}

Legal Notice

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Red Hat legal and privacy links

Red Hat legal and privacy links