1.3. À propos de l'autorisation dans OpenShift Container Platform
L'autorisation consiste à déterminer si l'utilisateur identifié a le droit d'effectuer l'action demandée.
Les administrateurs peuvent définir les autorisations et les attribuer aux utilisateurs à l'aide des objets RBAC, tels que les règles, les rôles et les liaisons. Pour comprendre comment fonctionne l'autorisation dans OpenShift Container Platform, voir Évaluation de l'autorisation.
Vous pouvez également contrôler l'accès à un cluster OpenShift Container Platform par le biais de projets et d'espaces de noms.
Outre le contrôle de l'accès des utilisateurs à un cluster, vous pouvez également contrôler les actions qu'un pod peut effectuer et les ressources auxquelles il peut accéder à l'aide de contraintes de contexte de sécurité (SCC).
Vous pouvez gérer l'autorisation pour OpenShift Container Platform en effectuant les tâches suivantes :
- Visualisation des rôles et des liens locaux et de cluster.
- Créer un rôle local et l'attribuer à un utilisateur ou à un groupe.
- Créer un rôle de cluster et l'attribuer à un utilisateur ou à un groupe : OpenShift Container Platform inclut un ensemble de rôles de cluster par défaut. Vous pouvez créer des rôles de cluster supplémentaires et les ajouter à un utilisateur ou à un groupe.
Création d'un utilisateur cluster-admin : Par défaut, votre cluster n'a qu'un seul administrateur de cluster appelé
kubeadmin. Vous pouvez créer un autre administrateur de cluster. Avant de créer un administrateur de cluster, assurez-vous que vous avez configuré un fournisseur d'identité.NoteAprès avoir créé l'utilisateur administrateur du cluster, supprimez l'utilisateur kubeadmin existant afin d'améliorer la sécurité du cluster.
- Création de comptes de service : Les comptes de service constituent un moyen souple de contrôler l'accès à l'API sans partager les informations d'identification d'un utilisateur normal. Un utilisateur peut créer et utiliser un compte de service dans des applications et également en tant que client OAuth.
- Jetons de portée: Un jeton de portée est un jeton qui identifie un utilisateur spécifique qui ne peut effectuer que des opérations spécifiques. Vous pouvez créer des jetons de portée pour déléguer certaines de vos autorisations à un autre utilisateur ou à un compte de service.
- Synchronisation des groupes LDAP : Vous pouvez gérer les groupes d'utilisateurs en un seul endroit en synchronisant les groupes stockés dans un serveur LDAP avec les groupes d'utilisateurs d'OpenShift Container Platform.
