Chapitre 10. Comprendre et créer des comptes de service
10.1. Vue d'ensemble des comptes de service
Un compte de service est un compte OpenShift Container Platform qui permet à un composant d'accéder directement à l'API. Les comptes de service sont des objets API qui existent dans chaque projet. Les comptes de service offrent un moyen flexible de contrôler l'accès à l'API sans partager les informations d'identification d'un utilisateur normal.
Lorsque vous utilisez le CLI ou la console web de OpenShift Container Platform, votre jeton API vous authentifie auprès de l'API. Vous pouvez associer un composant à un compte de service afin qu'il puisse accéder à l'API sans utiliser les informations d'identification d'un utilisateur normal. Par exemple, les comptes de service peuvent permettre :
- Contrôleurs de réplication pour effectuer des appels API afin de créer ou de supprimer des pods.
- Applications à l'intérieur des conteneurs pour effectuer des appels d'API à des fins de découverte.
- Des applications externes pour effectuer des appels d'API à des fins de surveillance ou d'intégration.
Le nom d'utilisateur de chaque compte de service est dérivé de son projet et de son nom :
system:serviceaccount:<project>:<name>
Chaque compte de service est également membre de deux groupes :
Groupe | Description |
---|---|
système:comptes de service | Comprend tous les comptes de service du système. |
system:serviceaccounts:<project> | Inclut tous les comptes de service du projet spécifié. |
Chaque compte de service contient automatiquement deux secrets :
- Un jeton API
- Informations d'identification pour le registre de conteneurs OpenShift
Le jeton API et les informations d'identification du registre générés n'expirent pas, mais vous pouvez les révoquer en supprimant le secret. Lorsque vous supprimez le secret, un nouveau est automatiquement généré pour le remplacer.