4.2. ユーザーの Pod 作成権限の有無の確認
scc-review
と scc-subject-review
オプションを使用することで、個別ユーザーまたは特定のサービスアカウントのユーザーが Pod を作成または更新可能かどうかを確認できます。
scc-review
オプションを使用すると、サービスアカウントが Pod を作成または更新可能かどうかを確認できます。このコマンドは、リソースを許可する SCC (Security Context Constraints) について出力します。
たとえば、system:serviceaccount:projectname:default
サービスアカウントのユーザーが Pod を作成可能かどうかを確認するには、以下を実行します。
$ oc policy scc-review -z system:serviceaccount:projectname:default -f my_resource.yaml
scc-subject-review
オプションを使用して、特定のユーザーが Pod を作成または更新できるかどうかを確認することも可能です。
$ oc policy scc-subject-review -u <username> -f my_resource.yaml
特定のグループに所属するユーザーが特定のファイルで Pod を作成できるかどうかを確認するには、以下を実行します。
$ oc policy scc-subject-review -u <username> -g <groupname> -f my_resource.yaml