4.2.4. クラスターロールおよびローカルロール
ロールはポリシールールのコレクションであり、一連のリソースで実行可能な一連の許可された動詞です。OpenShift Container Platform には、クラスター全体 または ローカル で、ユーザーおよびグループにバインドできるデフォルトのクラスターロールのセットが含まれます。
| デフォルトのクラスターロール | 説明 |
|---|---|
| admin | プロジェクトマネージャー。ローカルバインディングで使用されている場合、admin ユーザーにはプロジェクトのリソースを閲覧し、クォータを除くプロジェクトのすべてのリソースを変更する権限があります。 |
| basic-user | プロジェクトおよびユーザーについての基本的な情報を取得できるユーザーです。 |
| cluster-admin | すべてのプロジェクトですべてのアクションを実行できるスーパーユーザーです。ローカルバインディング でユーザーにバインドされる場合、クォータに対する 完全な制御 およびプロジェクト内のすべてのリソースに対するすべてのアクションを実行できます。 |
| cluster-status | 基本的なクラスターのステータス情報を取得できるユーザーです。 |
| edit | プロジェクトのほとんどのプロジェクトを変更できるが、ロールまたはバインディングを表示したり、変更したりする機能を持たないユーザーです。 |
| self-provisioner | 独自のプロジェクトを作成できるユーザーです。 |
| view | 変更できないものの、プロジェクトでほとんどのオブジェクトを確認できるユーザーです。それらはロールまたはバインディングを表示したり、変更したりできません。 |
| cluster-reader | クラスター内のオブジェクトを読み取れるが、表示できないユーザーです。 |
ユーザーおよびグループ は一度に複数のロールに関連付けたり、バインド したりできることに留意してください。
プロジェクト管理者は、ローカルロールとローカルバインディングを表示する ために、CLI を使用してロールを可視化できます。 これには、それぞれのロールが関連付けられる動詞およびリソースのマトリクスが含まれます。
プロジェクト管理者にバインドされるクラスターロールは、ローカルバインディングによってプロジェクトに制限されます。これは、cluster-admin または system:admin に付与されるクラスターロールのように クラスター全体 でバインドされる訳ではありません。
クラスターロールは、クラスターレベルで定義される ロール ですが、クラスターレベルまたはプロジェクトレベルのいずれかでバインドできます。
プロジェクトのローカルロールの作成方法についてはこちらを参照してください。
4.2.4.1. クラスターロールの更新
OpenShift Container Platform のクラスターをアップグレードした後に、デフォルトのロールが更新され、サーバーの起動時に自動調整されます。調整時に、デフォルトのロールで足りないパーミッションは追加されます。ロールに別途パーミッションを追加していた場合には、削除されます。
デフォルトのロールをカスタマイズし、自動的にロールを調整されないように設定していた場合には、OpenShift Container Platform のアップグレード時に、手動でポリシー定義を更新する必要があります。
