Red Hat SummitChapitre 9. La révocation de l’accès à un cluster ROSA
Le fournisseur d’identité (IDP) contrôle l’accès à un cluster Red Hat OpenShift Service sur AWS (ROSA). Afin de révoquer l’accès d’un utilisateur à un cluster, vous devez configurer cela dans le PID qui a été configuré pour l’authentification.
9.1. Annuler l’accès administrateur à l’aide de la ROSA CLI
Il est possible de révoquer l’accès administrateur des utilisateurs afin qu’ils puissent accéder au cluster sans privilèges d’administrateur. Afin de supprimer l’accès administrateur pour un utilisateur, vous devez révoquer les privilèges dédiés-admin ou cluster-admin. Il est possible de révoquer les privilèges d’administrateur à l’aide du service Red Hat OpenShift sur AWS (ROSA) CLI, rosa ou en utilisant la console OpenShift Cluster Manager.
9.1.1. La révocation de l’accès dédié-admin à l’aide de la ROSA CLI
Il est possible de révoquer l’accès pour un utilisateur administrateur dédié si vous êtes l’utilisateur qui a créé le cluster, l’utilisateur administrateur de l’organisation ou l’utilisateur super administrateur.
Conditions préalables
- Dans votre cluster, vous avez ajouté un fournisseur d’identité (IDP).
- Il y a le nom d’utilisateur IDP pour l’utilisateur dont vous révoquez les privilèges.
- Il est connecté au cluster.
Procédure
Entrez la commande suivante pour révoquer l’accès admin dédié d’un utilisateur:
rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>Copy to Clipboard Copied! Toggle word wrap Toggle overflow Entrez la commande suivante pour vérifier que votre utilisateur n’a plus d’accès admin dédié. La sortie ne répertorie pas l’utilisateur révoqué.
oc get groups dedicated-admins
$ oc get groups dedicated-adminsCopy to Clipboard Copied! Toggle word wrap Toggle overflow
9.1.2. La révocation de l’accès cluster-admin à l’aide de la ROSA CLI
Il n’y a que l’utilisateur qui a créé le cluster qui peut révoquer l’accès pour les utilisateurs de cluster-admin.
Conditions préalables
- Dans votre cluster, vous avez ajouté un fournisseur d’identité (IDP).
- Il y a le nom d’utilisateur IDP pour l’utilisateur dont vous révoquez les privilèges.
- Il est connecté au cluster.
Procédure
Entrez la commande suivante pour révoquer l’accès cluster-admin d’un utilisateur:
rosa revoke user cluster-admins --user=myusername --cluster=mycluster
$ rosa revoke user cluster-admins --user=myusername --cluster=myclusterCopy to Clipboard Copied! Toggle word wrap Toggle overflow Entrez la commande suivante pour vérifier que l’utilisateur n’a plus accès cluster-admin. La sortie ne répertorie pas l’utilisateur révoqué.
oc get groups cluster-admins
$ oc get groups cluster-adminsCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}