Red Hat Summit2.8. Annuler les privilèges d’administrateur et l’accès de l’utilisateur
En utilisant le service Red Hat OpenShift sur AWS (ROSA) CLI, rosa, vous pouvez révoquer les privilèges de cluster-admin ou dédié-admin d’un utilisateur.
Afin de révoquer l’accès au cluster d’un utilisateur, vous devez retirer l’utilisateur de votre fournisseur d’identité configuré.
Dans cette section, suivez les procédures pour révoquer les privilèges d’administrateur ou l’accès en cluster d’un utilisateur.
2.8.1. Annuler les privilèges d’administrateur d’un utilisateur
Suivez les étapes de cette section pour révoquer les privilèges de cluster-admin ou dédié-admin d’un utilisateur.
Conditions préalables
- Dans votre poste de travail, vous avez installé et configuré le dernier service Red Hat OpenShift sur AWS (ROSA) CLI, rosa.
- Connectez-vous à votre compte Red Hat à l’aide du ROSA CLI (rosa).
- « vous avez créé un cluster ROSA.
- « vous avez configuré un fournisseur d’identité GitHub pour votre cluster et ajouté un utilisateur de fournisseur d’identité.
- Les privilèges de cluster-admin ou dédié-admin ont été accordés à un utilisateur.
Procédure
De révoquer les privilèges de cluster-admin d’un utilisateur du fournisseur d’identité:
Abroger le privilège cluster-admin:
rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>
$ rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- <idp_user_name> et <cluster_name> par le nom de l’utilisateur du fournisseur d’identité et le nom de votre cluster.
Exemple de sortie
? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'
? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Assurez-vous que l’utilisateur n’est pas listé en tant que membre du groupe cluster-admins:
rosa list users --cluster=<cluster_name>
$ rosa list users --cluster=<cluster_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
W: There are no users configured for cluster '<cluster_name>'
W: There are no users configured for cluster '<cluster_name>'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
De révoquer les privilèges d’administration dédiés d’un utilisateur du fournisseur d’identité:
Abroger le privilège dédié-admin:
rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'
? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'Copy to Clipboard Copied! Toggle word wrap Toggle overflow Assurez-vous que l’utilisateur n’est pas inscrit en tant que membre du groupe admins dédiés:
rosa list users --cluster=<cluster_name>
$ rosa list users --cluster=<cluster_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
W: There are no users configured for cluster '<cluster_name>'
W: There are no users configured for cluster '<cluster_name>'Copy to Clipboard Copied! Toggle word wrap Toggle overflow
2.8.2. Annuler l’accès de l’utilisateur à un cluster
Il est possible de révoquer l’accès au cluster pour un utilisateur du fournisseur d’identité en les supprimant de votre fournisseur d’identité configuré.
Il est possible de configurer différents types de fournisseurs d’identité pour votre cluster ROSA. L’exemple suivant révoque l’accès au cluster pour un membre d’une organisation GitHub qui est configuré pour la fourniture d’identité au cluster.
Conditions préalables
- Il y a un cluster ROSA.
- Il y a un compte utilisateur GitHub.
- « vous avez configuré un fournisseur d’identité GitHub pour votre cluster et ajouté un utilisateur de fournisseur d’identité.
Procédure
- Accédez à github.com et connectez-vous à votre compte GitHub.
- Enlevez l’utilisateur de votre organisation GitHub. Dans la documentation GitHub, suivez les étapes de la suppression d’un membre de votre organisation.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}