1.3. OpenShift Container Platform での認可について
許可には、識別されたユーザーが要求されたアクションを実行するための許可を持っているかどうかを判別することが含まれます。
管理者は、権限を定義し、ルール、ロール、バインディングなどの RBAC オブジェクトを使用してそれらをユーザーに割り当てることができます。OpenShift Container Platform で承認がどのように機能するかを理解するには、承認の評価を参照してください。
プロジェクトと namespaceを介して、OpenShift Container Platform クラスターへのアクセスを制御することもできます。
クラスターへのユーザーアクセスを制御するだけでなく、セキュリティーコンテキスト制約 (SCC) を使用して、Pod が実行できるアクションとアクセスできるリソースを制御することもできます。
以下のタスクを通じて、OpenShift Container Platform の認可を管理できます。
- ローカルおよびクラスターのロールとバインディングの表示。
- ローカルロールを作成し、それをユーザーまたはグループに割り当てます。
- クラスターロールの作成とユーザーまたはグループへの割り当て: OpenShift Container Platform には、デフォルトのクラスターロールのセットが含まれています。追加のクラスターロールを作成して、ユーザーまたはグループに追加できます。
cluster-admin ユーザーの作成: デフォルトでは、クラスターには
kubeadmin
というクラスター管理者が 1 人だけいます。別のクラスター管理者を作成できます。クラスター管理者を作成する前に、ID プロバイダーが設定されていることを確認してください。注記クラスター管理者ユーザーを作成したら、既存の kubeadmin ユーザーを削除して、クラスターのセキュリティーを向上させます。
- サービスアカウントの作成: サービスアカウントは、通常のユーザークレデンシャルを共有せずに API アクセスを制御する柔軟な方法を提供します。ユーザーは、アプリケーションでサービスアカウントを作成して使用したり、OAuth クライアント として使用したりできます。
- スコープトークン: スコープトークンは、特定の操作のみを実行できる特定のユーザーとして識別するトークンです。スコープ付きトークンを作成して、パーミッションの一部を別のユーザーまたはサービスアカウントに委任できます。
- LDAP グループの同期: LDAP サーバーに保存されているグループを OpenShift Container Platform ユーザーグループと同期することにより、ユーザーグループを 1 か所で管理できます。