Authorization APIs

第1章 Authorization APIs

1.1. LocalResourceAccessReview [authorization.openshift.io/v1]

説明

LocalResourceAccessReview は、特定の namespace で仕様により指定されたアクションの実行を承認されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.2. LocalSubjectAccessReview [authorization.openshift.io/v1]

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.3. ResourceAccessReview [authorization.openshift.io/v1]

説明

ResourceAccessReview は、仕様により指定されたアクションの実行を承認されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.4. SelfSubjectRulesReview [authorization.openshift.io/v1]

説明

SelfSubjectRulesReview は、namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.5. SubjectAccessReview [authorization.openshift.io/v1]

説明

SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.6. SubjectRulesReview [authorization.openshift.io/v1]

説明

SubjectRulesReview は、別のユーザーが namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.7. TokenRequest [authentication.k8s.io/v1]

説明: TokenRequest は、指定のサービスアカウントのトークンを要求します。
型: object

1.8. TokenReview [authentication.k8s.io/v1]

説明: TokenReview は、既知のユーザーに対してトークンを認証します。注: TokenReview 要求は、kube-apiserver の webhook トークンオーセンティケータープラグインによってキャッシュされる場合があります。
型: object

1.9. LocalSubjectAccessReview [authorization.k8s.io/v1]

説明: LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかを確認します。namespace のスコープ指定されたリソースがあると、パーミッションチェックを含む namespace のスコープ指定されたポリシーの付与がはるかに容易になります。
型: object

1.10. SelfSubjectAccessReview [authorization.k8s.io/v1]

説明: SelfSubjectAccessReview は、現在のユーザーがアクションを実行できるかどうかを確認します。spec.namespace に入力しない場合、"すべての namespace 内" を意味します。ユーザーは常にアクションを実行できるかどうかを確認できる必要があるため、Self は特殊なケースです。
型: object

1.11. SelfSubjectRulesReview [authorization.k8s.io/v1]

説明: SelfSubjectRulesReview は、現在のユーザーが namespace 内で実行できるアクションのセットを列挙します。サーバーの認証モード、および評価中に発生したエラーによっては、返されるアクションのリストが不完全な場合があります。SelfSubjectRulesReview は、UI でアクションを表示/非表示にしたり、エンドユーザーにパーミッションに関する理由を素早く伝えたりするために使用します。これは、代理人の混乱、キャッシュの有効期限/失効、および正確性の懸念を引き起こすため、承認の決定を推進するために外部システムによって使用されるべきではありません。SubjectAccessReview および LocalAccessReview は、API サーバーへの承認決定を遅らせる正しい方法です。
型: object

1.12. SubjectAccessReview [authorization.k8s.io/v1]

説明: SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかをチェックします。
型: object

第2章 LocalResourceAccessReview [authorization.openshift.io/v1]

説明

LocalResourceAccessReview は、特定の namespace で仕様により指定されたアクションの実行を承認されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL

2.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	コンテンツは、作成および更新のリクエストの実際のコンテンツです
`isNonResourceURL`	`boolean`	IsNonResourceURL は、これが非リソース URL(リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません
`path`	`string`	パスは非リソース URL のパスです
`resource`	`string`	リソースは既存のリソースタイプの 1 つです
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'グループ' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	バージョンは、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を避けるために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	ResourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`verb`	`string`	動詞は、取得、リスト表示、監視、作成、更新、削除のいずれかです。

2.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviews
- POST: LocalResourceAccessReview を作成します

2.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviews

表2.1 グローバルパスパラメーター
パラメーター	型	説明
`namespace`	`string`	チームやプロジェクトなどのオブジェクト名と認証スコープ

表2.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: LocalResourceAccessReview を作成します

表2.3 本文パラメーター
パラメーター	型	説明
`body`	`LocalResourceAccessReview` スキーマ

表2.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`LocalResourceAccessReview` スキーマ
201 - Created	`LocalResourceAccessReview` スキーマ
202 - Accepted	`LocalResourceAccessReview` スキーマ
401 - Unauthorized	空白

第3章 LocalSubjectAccessReview [authorization.openshift.io/v1]

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL
user
groups
scopes

3.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	コンテンツは、作成および更新のリクエストの実際のコンテンツです
`groups`	`array (string)`	グループはオプションです。グループは、ユーザーが属するグループのリストです。
`isNonResourceURL`	`boolean`	IsNonResourceURL は、これが非リソース URL(リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません
`path`	`string`	パスは非リソース URL のパスです
`resource`	`string`	リソースは既存のリソースタイプの 1 つです
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'グループ' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	バージョンは、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を避けるために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	ResourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`scopes`	`array (string)`	評価に使用するスコープ。Empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。自己 SAR の場合はゼロは、"このリクエストでスコープを使用" することを意味します。通常の SAR の場合、Nil は、empty と同じ意味です。
`user`	`string`	User はオプションです。User と Groups の両方が empty の場合、現在認証されているユーザーが使用されます。
`verb`	`string`	動詞は、取得、リスト表示、監視、作成、更新、削除のいずれかです。

3.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviews
- POST: LocalSubjectAccessReview を作成します

3.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviews

表3.1 グローバルパスパラメーター
パラメーター	型	説明
`namespace`	`string`	チームやプロジェクトなどのオブジェクト名と認証スコープ

表3.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: LocalSubjectAccessReview を作成します

表3.3 本文パラメーター
パラメーター	型	説明
`body`	`LocalSubjectAccessReview` スキーマ

表3.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`LocalSubjectAccessReview` スキーマ
201 - Created	`LocalSubjectAccessReview` スキーマ
202 - Accepted	`LocalSubjectAccessReview` スキーマ
401 - Unauthorized	空白

第4章 ResourceAccessReview [authorization.openshift.io/v1]

説明

ResourceAccessReview は、仕様により指定されたアクションの実行を承認されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL

4.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	コンテンツは、作成および更新のリクエストの実際のコンテンツです
`isNonResourceURL`	`boolean`	IsNonResourceURL は、これが非リソース URL(リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません
`path`	`string`	パスは非リソース URL のパスです
`resource`	`string`	リソースは既存のリソースタイプの 1 つです
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'グループ' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	バージョンは、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を避けるために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	ResourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`verb`	`string`	動詞は、取得、リスト表示、監視、作成、更新、削除のいずれかです。

4.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/resourceaccessreviews
- POST: ResourceAccessReview を作成します

4.2.1. /apis/authorization.openshift.io/v1/resourceaccessreviews

表4.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: ResourceAccessReview を作成します

表4.2 本文パラメーター
パラメーター	型	説明
`body`	`ResourceAccessReview` スキーマ

表4.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`ResourceAccessReview` スキーマ
201 - Created	`ResourceAccessReview` スキーマ
202 - Accepted	`ResourceAccessReview` スキーマ
401 - Unauthorized	空白

第5章 SelfSubjectRulesReview [authorization.openshift.io/v1]

説明

SelfSubjectRulesReview は、namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

spec

5.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`spec`	`object`	SelfSubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します
`status`	`object`	SubjectRulesReviewStatus には、ルールチェックの結果が含まれています

5.1.1. .spec

説明

SelfSubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します

型

object

必須

scopes

プロパティー	型	説明
`scopes`	`array (string)`	評価に使用するスコープ。Empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。Nil は、"このリクエストでスコープを使用" することを意味します。

5.1.2. .status

説明

SubjectRulesReviewStatus には、ルールチェックの結果が含まれています

型

object

必須

rules

プロパティー	型	説明
`evaluationError`	`string`	EvaluationError は、ルールと組み合わせて表示される場合があります。これは、評価中にエラーが発生し、追加のルールを設定できなかった可能性があることを意味します。
`rules`	`array`	ルールは、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
`rules[]`	`object`	PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

5.1.3. .status.rules

説明: ルールは、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
型: array

5.1.4. .status.rules[]

説明

PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

型

object

必須

verbs
resources

プロパティー	型	説明
`apiGroups`	`array (string)`	APIGroups は、リソースを含む APIGroup の名前です。このフィールドが空の場合、kubernetes と origin API グループの両方が想定されます。つまり、kubernetes またはオリジン API グループのいずれかで列挙されたリソースのいずれかに対してアクションがリクエストされた場合、そのリクエストは許可されます
`attributeRestrictions`	`RawExtension`	AttributeRestrictions は、Authorizer/AuthorizationAttributeBuilder ペアがサポートするものによって異なります。承認者が AttributeRestrictions の処理方法を認識しない場合、承認者はエラーを報告する必要があります。
`nonResourceURLs`	`array (string)`	NonResourceURLsSlice は、ユーザーがアクセスできる必要のある部分的な URL のセットです。*は許可されますが、パスの完全な最終ステップとしてのみこの名前は内部タイプとは意図的に異なります。これにより、DefaultConvert が適切に機能し、順序が異なる場合があります。
`resourceNames`	`array (string)`	ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。
`resources`	`array (string)`	リソースは、このルールが適用されるリソースのリストです。ResourceAll は、すべてのリソースを表します。
`verbs`	`array (string)`	Verbs は、このルールに含まれるすべての ResourceKinds と AttributeRestrictions に適用される動詞のリストです。VerbAll はすべての種類を表します。

5.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviews
- POST:SelfSubjectRulesReview を作成します

5.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviews

表5.1 グローバルパスパラメーター
パラメーター	型	説明
`namespace`	`string`	チームやプロジェクトなどのオブジェクト名と認証スコープ

表5.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: SelfSubjectRulesReview の作成

表5.3 本文パラメーター
パラメーター	型	説明
`body`	`SelfSubjectRulesReview` スキーマ

表5.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectRulesReview` スキーマ
201 - Created	`SelfSubjectRulesReview` スキーマ
202 - Accepted	`SelfSubjectRulesReview` スキーマ
401 - Unauthorized	空白

第6章 SubjectAccessReview [authorization.openshift.io/v1]

説明

SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL
user
groups
scopes

6.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	コンテンツは、作成および更新のリクエストの実際のコンテンツです
`groups`	`array (string)`	GroupsSlice はオプションです。グループは、ユーザーが属するグループのリストです。
`isNonResourceURL`	`boolean`	IsNonResourceURL は、これが非リソース URL(リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません
`path`	`string`	パスは非リソース URL のパスです
`resource`	`string`	リソースは既存のリソースタイプの 1 つです
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'グループ' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	バージョンは、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を避けるために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	ResourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`scopes`	`array (string)`	評価に使用するスコープ。Empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。自己 SAR の場合はゼロは、"このリクエストでスコープを使用" することを意味します。通常の SAR の場合、Nil は、empty と同じ意味です。
`user`	`string`	User はオプションです。User と Groups の両方が empty の場合、現在認証されているユーザーが使用されます。
`verb`	`string`	動詞は、取得、リスト表示、監視、作成、更新、削除のいずれかです。

6.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/subjectaccessreviews
- POST:SubjectAccessReview を作成します

6.2.1. /apis/authorization.openshift.io/v1/subjectaccessreviews

表6.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: SubjectAccessReview の作成

表6.2 本文パラメーター
パラメーター	型	説明
`body`	`SubjectAccessReview` スキーマ

表6.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SubjectAccessReview` スキーマ
201 - Created	`SubjectAccessReview` スキーマ
202 - Accepted	`SubjectAccessReview` スキーマ
401 - Unauthorized	空白

第7章 SubjectRulesReview [authorization.openshift.io/v1]

説明

SubjectRulesReview は、別のユーザーが namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

spec

7.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`spec`	`object`	SubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します
`status`	`object`	SubjectRulesReviewStatus には、ルールチェックの結果が含まれています

7.1.1. .spec

説明

SubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します

型

object

必須

user
groups
scopes

プロパティー	型	説明
`groups`	`array (string)`	グループはオプションです。グループは、ユーザーが属するグループのリストです。ユーザーとグループの少なくとも 1 つを指定する必要があります。
`scopes`	`array (string)`	評価に使用するスコープ。Empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。
`user`	`string`	User はオプションです。ユーザーとグループの少なくとも 1 つを指定する必要があります。

7.1.2. .status

説明

SubjectRulesReviewStatus には、ルールチェックの結果が含まれています

型

object

必須

rules

プロパティー	型	説明
`evaluationError`	`string`	EvaluationError は、ルールと組み合わせて表示される場合があります。これは、評価中にエラーが発生し、追加のルールを設定できなかった可能性があることを意味します。
`rules`	`array`	ルールは、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
`rules[]`	`object`	PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

7.1.3. .status.rules

説明: ルールは、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
型: array

7.1.4. .status.rules[]

説明

PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

型

object

必須

verbs
resources

プロパティー	型	説明
`apiGroups`	`array (string)`	APIGroups は、リソースを含む APIGroup の名前です。このフィールドが空の場合、kubernetes と origin API グループの両方が想定されます。つまり、kubernetes またはオリジン API グループのいずれかで列挙されたリソースのいずれかに対してアクションがリクエストされた場合、そのリクエストは許可されます
`attributeRestrictions`	`RawExtension`	AttributeRestrictions は、Authorizer/AuthorizationAttributeBuilder ペアがサポートするものによって異なります。承認者が AttributeRestrictions の処理方法を認識しない場合、承認者はエラーを報告する必要があります。
`nonResourceURLs`	`array (string)`	NonResourceURLsSlice は、ユーザーがアクセスできる必要のある部分的な URL のセットです。*は許可されますが、パスの完全な最終ステップとしてのみこの名前は内部タイプとは意図的に異なります。これにより、DefaultConvert が適切に機能し、順序が異なる場合があります。
`resourceNames`	`array (string)`	ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。
`resources`	`array (string)`	リソースは、このルールが適用されるリソースのリストです。ResourceAll は、すべてのリソースを表します。
`verbs`	`array (string)`	Verbs は、このルールに含まれるすべての ResourceKinds と AttributeRestrictions に適用される動詞のリストです。VerbAll はすべての種類を表します。

7.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviews
- POST:SubjectRulesReview を作成します

7.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviews

表7.1 グローバルパスパラメーター
パラメーター	型	説明
`namespace`	`string`	チームやプロジェクトなどのオブジェクト名と認証スコープ

表7.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: SubjectRulesReview を作成します

表7.3 本文パラメーター
パラメーター	型	説明
`body`	`SubjectRulesReview` スキーマ

表7.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SubjectRulesReview` スキーマ
201 - Created	`SubjectRulesReview` スキーマ
202 - Accepted	`SubjectRulesReview` スキーマ
401 - Unauthorized	空白

第8章 TokenRequest [authentication.k8s.io/v1]

説明

TokenRequest は、指定のサービスアカウントのトークンを要求します。

型

object

必須

spec

8.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	TokenRequestSpec には、トークンリクエストのクライアント提供パラメーターが含まれています。
`status`	`object`	TokenRequestStatus は、トークンリクエストの結果です。

8.1.1. .spec

説明

TokenRequestSpec には、トークンリクエストのクライアント提供パラメーターが含まれています。

型

object

必須

audiences

プロパティー	型	説明
`audiences`	`array (string)`	audiences は、トークンのオーディエンスです。トークンの受信者は、トークンのオーディエンスリストにある識別子を使用して自分自身を識別する必要があり、そうでない場合はトークンを拒否する必要があります。複数のオーディエンスに対して発行されたトークンは、リストされているオーディエンスのいずれかに対して認証するために使用できますが、ターゲットオーディエンス間の高度な信頼を意味します。
`boundObjectRef`	`object`	BoundObjectReference は、トークンがバインドされているオブジェクトへの参照です。
`expirationSeconds`	`integer`	ExpirationSeconds は、リクエストされた要求の有効期間です。トークン発行者は、有効期間が異なるトークンを返す可能性があるため、クライアントは応答の '有効期限' フィールドを確認する必要があります。

8.1.2. .spec.boundObjectRef

説明: BoundObjectReference は、トークンがバインドされているオブジェクトへの参照です。
型: object

プロパティー	型	説明
`apiVersion`	`string`	参照先の API バージョン。
`kind`	`string`	参照先の種類。有効な種類は 'Pod' と 'Secret' です。
`name`	`string`	参照先の名前。
`uid`	`string`	参照先の UID。

8.1.3. .status

説明

TokenRequestStatus は、トークンリクエストの結果です。

型

object

必須

token
expirationTimestamp

プロパティー	型	説明
`expirationTimestamp`	`Time`	ExpirationTimestamp は、返されたトークンの有効期限です。
`token`	`string`	トークンは不透明なベアラトークンです。

8.2. API エンドポイント

以下の API エンドポイントを利用できます。

/api/v1/namespaces/{namespace}/serviceaccounts/{name}/token
- POST:ServiceAccount のトークンを作成します

8.2.1. /api/v1/namespaces/{namespace}/serviceaccounts/{name}/token

表8.1 グローバルパスパラメーター
パラメーター	型	説明
`name`	`string`	TokenRequest の名前
`namespace`	`string`	チームやプロジェクトなどのオブジェクト名と認証スコープ

表8.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: ServiceAccount のトークンを作成します

表8.3 本文パラメーター
パラメーター	型	説明
`body`	`TokenRequest` スキーマ

表8.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`TokenRequest` スキーマ
201 - Created	`TokenRequest` スキーマ
202 - Accepted	`TokenRequest` スキーマ
401 - Unauthorized	空白

第9章 TokenReview [authentication.k8s.io/v1]

説明

TokenReview は、既知のユーザーに対してトークンを認証します。注: TokenReview 要求は、kube-apiserver の webhook トークンオーセンティケータープラグインによってキャッシュされる場合があります。

型

object

必須

spec

9.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	TokenReviewSpec は、トークン認証リクエストの説明です。
`status`	`object`	TokenReviewStatus は、トークン認証リクエストの結果です。

9.1.1. .spec

説明: TokenReviewSpec は、トークン認証リクエストの説明です。
型: object

プロパティー	型	説明
`audiences`	`array (string)`	オーディエンスは、トークンとともに提示されたリソースサーバーが識別する識別子のリストです。オーディエンス対応のトークンオーセンティケーターは、トークンがこのリストの少なくとも 1 人のオーディエンスを対象としていることを確認します。オーディエンスが提供されていない場合、オーディエンスはデフォルトで Kubernetes apiserver のオーディエンスになります。
`token`	`string`	トークンは不透明なベアラトークンです。

9.1.2. .status

説明: TokenReviewStatus は、トークン認証リクエストの結果です。
型: object

プロパティー	型	説明
`audiences`	`array (string)`	オーディエンスは、TokenReview とトークンの両方と互換性のあるオーセンティケーターによって選択されたオーディエンス識別子です。識別子は、TokenReviewSpec オーディエンスとトークンのオーディエンスの共通部分にある識別子です。spec.audiences フィールドを設定する TokenReview API のクライアントは、互換性のあるオーディエンス識別子が status.audiences フィールドに返されることを検証して、TokenReview サーバーがオーディエンスを認識していることを確認する必要があります。TokenReview が status.authenticated が "true" である空の status.audience フィールドを返す場合、トークンは Kubernetes API サーバーのオーディエンスに対して有効です。
`authenticated`	`boolean`	Authenticated は、トークンが既知のユーザーに関連付けられていることを示します。
`error`	`string`	エラーは、トークンをチェックできなかったことを示します
`user`	`object`	UserInfo は、user.Info インターフェイスを実装するために必要なユーザーに関する情報を保持します。

9.1.3. .status.user

説明: UserInfo は、user.Info インターフェイスを実装するために必要なユーザーに関する情報を保持します。
型: object

プロパティー	型	説明
`extra`	`object`	オーセンティケーターによって提供される追加情報。
`extra{}`	`array (string)`
`groups`	`array (string)`	このユーザーが参加しているグループの名前。
`uid`	`string`	時間の経過とともにこのユーザーを識別する一意の値。このユーザーが削除され、同じ名前の別のユーザーが追加された場合、それらの UID は異なります。
`username`	`string`	すべてのアクティブユーザーの中でこのユーザーを一意に識別する名前。

9.1.4. .status.user.extra

説明: オーセンティケーターによって提供される追加情報。
型: object

9.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/oauth.openshift.io/v1/tokenreviews
- POST:TokenReview を作成します
/apis/authentication.k8s.io/v1/tokenreviews
- POST:TokenReview を作成します

9.2.1. /apis/oauth.openshift.io/v1/tokenreviews

表9.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: TokenReview を作成する

表9.2 本文パラメーター
パラメーター	型	説明
`body`	`TokenReview` スキーマ

表9.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`TokenReview` スキーマ
201 - Created	`TokenReview` スキーマ
202 - Accepted	`TokenReview` スキーマ
401 - Unauthorized	空白

9.2.2. /apis/authentication.k8s.io/v1/tokenreviews

表9.4 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: TokenReview を作成する

表9.5 本文パラメーター
パラメーター	型	説明
`body`	`TokenReview` スキーマ

表9.6 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`TokenReview` スキーマ
201 - Created	`TokenReview` スキーマ
202 - Accepted	`TokenReview` スキーマ
401 - Unauthorized	空白

第10章 LocalSubjectAccessReview [authorization.k8s.io/v1]

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかを確認します。namespace のスコープ指定されたリソースがあると、パーミッションチェックを含む namespace のスコープ指定されたポリシーの付与がはるかに容易になります。

型

object

必須

spec

10.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes の正確に 1 つを設定する必要があります
`status`	`object`	SubjectAccessReviewStatus

10.1.1. .spec

説明: SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes の正確に 1 つを設定する必要があります
型: object

プロパティー	型	説明
`extra`	`object`	Extra は、オーセンティケーターの user.Info.GetExtra () メソッドに対応します。それは承認者に入力されるので、ここで反映する必要があります。
`extra{}`	`array (string)`
`groups`	`array (string)`	グループは、テストしているグループです。
`nonResourceAttributes`	`object`	NonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる承認属性が含まれています
`resourceAttributes`	`object`	ResourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています
`uid`	`string`	要求しているユーザーに関する UID 情報。
`user`	`string`	ユーザーは、テストしているユーザーです。"ユーザー" を指定し、"グループ" を指定せず、ユーザーがどのグループのメンバーでもなかった場合はどうなりますかと解釈されますか ?

10.1.2. .spec.extra

説明: Extra は、オーセンティケーターの user.Info.GetExtra () メソッドに対応します。それは承認者に入力されるので、ここで反映する必要があります。
型: object

10.1.3. .spec.nonResourceAttributes

説明: NonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる承認属性が含まれています
型: object

プロパティー	型	説明
`path`	`string`	パスはリクエストの URL パスです
`verb`	`string`	動詞は標準の HTTP 動詞です

10.1.4. .spec.resourceAttributes

説明: ResourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています
型: object

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	名前は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、名前空間なしとすべての名前空間の区別はありません ""(空) は LocalSubjectAccessReviews のデフォルトです ""(空) はクラスタースコープのリソースでは空です ""(空) は SubjectAccessReview からの名前空間スコープのリソースの " すべて " を意味します SelfSubjectAccessReview
`resource`	`string`	リソースは、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	サブリソースは、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	動詞は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

10.1.5. .status

説明

SubjectAccessReviewStatus

型

object

必須

allowed

プロパティー	型	説明
`allowed`	`boolean`	許可が必要です。アクションが許可される場合は true、それ以外の場合は false。
`拒否`	`boolean`	拒否はオプションです。アクションが拒否される場合は true、それ以外の場合は false。許可されたものと拒否されたものの両方が false である場合、承認者はアクションを承認するかどうかについて意見を持っていません。許可が true の場合、拒否は true ではない可能性があります。
`evaluationError`	`string`	EvaluationError は、許可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず許可ステータスを判別し続けることは完全に可能です。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	理由はオプションです。リクエストが許可または拒否された理由を示します。

10.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviews
- POST: LocalSubjectAccessReview を作成します

10.2.1. /apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviews

表10.1 グローバルパスパラメーター
パラメーター	型	説明
`namespace`	`string`	チームやプロジェクトなどのオブジェクト名と認証スコープ

表10.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: LocalSubjectAccessReview を作成します

表10.3 本文パラメーター
パラメーター	型	説明
`body`	`LocalSubjectAccessReview` スキーマ

表10.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`LocalSubjectAccessReview` スキーマ
201 - Created	`LocalSubjectAccessReview` スキーマ
202 - Accepted	`LocalSubjectAccessReview` スキーマ
401 - Unauthorized	空白

第11章 SelfSubjectAccessReview [authorization.k8s.io/v1]

説明

SelfSubjectAccessReview は、現在のユーザーがアクションを実行できるかどうかを確認します。spec.namespace に入力しない場合、"すべての namespace 内" を意味します。ユーザーは常にアクションを実行できるかどうかを確認できる必要があるため、Self は特殊なケースです。

型

object

必須

spec

11.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SelfSubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes の正確に 1 つを設定する必要があります
`status`	`object`	SubjectAccessReviewStatus

11.1.1. .spec

説明: SelfSubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes の正確に 1 つを設定する必要があります
型: object

プロパティー	型	説明
`nonResourceAttributes`	`object`	NonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる承認属性が含まれています
`resourceAttributes`	`object`	ResourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています

11.1.2. .spec.nonResourceAttributes

説明: NonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる承認属性が含まれています
型: object

プロパティー	型	説明
`path`	`string`	パスはリクエストの URL パスです
`verb`	`string`	動詞は標準の HTTP 動詞です

11.1.3. .spec.resourceAttributes

説明: ResourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています
型: object

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	名前は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、名前空間なしとすべての名前空間の区別はありません ""(空) は LocalSubjectAccessReviews のデフォルトです ""(空) はクラスタースコープのリソースでは空です ""(空) は SubjectAccessReview からの名前空間スコープのリソースの " すべて " を意味します SelfSubjectAccessReview
`resource`	`string`	リソースは、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	サブリソースは、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	動詞は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

11.1.4. .status

説明

SubjectAccessReviewStatus

型

object

必須

allowed

プロパティー	型	説明
`allowed`	`boolean`	許可が必要です。アクションが許可される場合は true、それ以外の場合は false。
`拒否`	`boolean`	拒否はオプションです。アクションが拒否される場合は true、それ以外の場合は false。許可されたものと拒否されたものの両方が false である場合、承認者はアクションを承認するかどうかについて意見を持っていません。許可が true の場合、拒否は true ではない可能性があります。
`evaluationError`	`string`	EvaluationError は、許可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず許可ステータスを判別し続けることは完全に可能です。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	理由はオプションです。リクエストが許可または拒否された理由を示します。

11.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/selfsubjectaccessreviews
- POST:SelfSubjectAccessReview を作成します

11.2.1. /apis/authorization.k8s.io/v1/selfsubjectaccessreviews

表11.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: SelfSubjectAccessReview を作成します

表11.2 本文パラメーター
パラメーター	型	説明
`body`	`SelfSubjectAccessReview` スキーマ

表11.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectAccessReview` スキーマ
201 - Created	`SelfSubjectAccessReview` スキーマ
202 - Accepted	`SelfSubjectAccessReview` スキーマ
401 - Unauthorized	空白

第12章 SelfSubjectRulesReview [authorization.k8s.io/v1]

説明

SelfSubjectRulesReview は、現在のユーザーが namespace 内で実行できるアクションのセットを列挙します。サーバーの認証モード、および評価中に発生したエラーによっては、返されるアクションのリストが不完全な場合があります。SelfSubjectRulesReview は、UI でアクションを表示/非表示にしたり、エンドユーザーにパーミッションに関する理由を素早く伝えたりするために使用します。これは、代理人の混乱、キャッシュの有効期限/失効、および正確性の懸念を引き起こすため、承認の決定を推進するために外部システムによって使用されるべきではありません。SubjectAccessReview および LocalAccessReview は、API サーバーへの承認決定を遅らせる正しい方法です。

型

object

必須

spec

12.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SelfSubjectRulesReviewSpec は、SelfSubjectRulesReview の仕様を定義します。
`status`	`object`	SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。このチェックは、サーバーが設定されている承認者のセットと、評価中に発生したエラーによっては不完全になる可能性があります。承認ルールは付加的なものであるため、ルールがリストに表示されている場合は、そのリストが不完全であっても、サブジェクトがその許可を持っていると見なすのが安全です。

12.1.1. .spec

説明: SelfSubjectRulesReviewSpec は、SelfSubjectRulesReview の仕様を定義します。
型: object

プロパティー	型	説明
`namespace`	`string`	ルールを評価するための名前空間。必須。

12.1.2. .status

説明

SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。このチェックは、サーバーが設定されている承認者のセットと、評価中に発生したエラーによっては不完全になる可能性があります。承認ルールは付加的なものであるため、ルールがリストに表示されている場合は、そのリストが不完全であっても、サブジェクトがその許可を持っていると見なすのが安全です。

型

object

必須

resourceRules
nonResourceRules
incomplete

プロパティー	型	説明
`evaluationError`	`string`	EvaluationError は、ルールと組み合わせて表示される場合があります。これは、ルール評価をサポートしていない承認者など、ルール評価中にエラーが発生したこと、および ResourceRules や NonResourceRules が不完全である可能性があることを示しています。
`incomplete`	`boolean`	この呼び出しによって返されるルールが不完全な場合、Incomplete は true です。これは、外部の承認者などの承認者がルールの評価をサポートしていない場合に最もよく発生します。
`nonResourceRules`	`array`	NonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
`nonResourceRules[]`	`object`	NonResourceRule は、非リソースのルールを説明する情報を保持します
`resourceRules`	`array`	ResourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
`resourceRules[]`	`object`	ResourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

12.1.3. .status.nonResourceRules

説明: NonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
型: array

12.1.4. .status.nonResourceRules[]

説明

NonResourceRule は、非リソースのルールを説明する情報を保持します

型

object

必須

verbs

プロパティー	型	説明
`nonResourceURLs`	`array (string)`	NonResourceURLs は、ユーザーがアクセスできる必要のある部分的な URL のセットです。s は許可されますが、パスの完全な最終ステップとしてのみ許可されます。"" はすべてを意味します。
`verbs`	`array (string)`	動詞は、get、post、put、delete、patch、head、options などの kubernetes の非リソース API 動詞のリストです。"*" はすべてを意味します。

12.1.5. .status.resourceRules

説明: ResourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
型: array

12.1.6. .status.resourceRules[]

説明

ResourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

型

object

必須

verbs

プロパティー	型	説明
`apiGroups`	`array (string)`	APIGroups は、リソースを含む APIGroup の名前です。複数の API グループが指定されている場合、任意の API グループ内の列挙されたリソースの 1 つに対して要求されたすべてのアクションが許可されます。"*" はすべてを意味します。
`resourceNames`	`array (string)`	ResourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。"*" はすべてを意味します。
`resources`	`array (string)`	リソースは、このルールが適用されるリソースのリストです。"" は、指定された apiGroups 内のすべてを意味します。"/foo" は、指定された apiGroups 内のすべてのリソースのサブリソース 'foo' を表します。
`verbs`	`array (string)`	動詞は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞のリストです。"*" はすべてを意味します。

12.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/selfsubjectrulesreviews
- POST:SelfSubjectRulesReview を作成します

12.2.1. /apis/authorization.k8s.io/v1/selfsubjectrulesreviews

表12.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: SelfSubjectRulesReview の作成

表12.2 本文パラメーター
パラメーター	型	説明
`body`	`SelfSubjectRulesReview` スキーマ

表12.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectRulesReview` スキーマ
201 - Created	`SelfSubjectRulesReview` スキーマ
202 - Accepted	`SelfSubjectRulesReview` スキーマ
401 - Unauthorized	空白

第13章 SubjectAccessReview [authorization.k8s.io/v1]

説明

SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかをチェックします。

型

object

必須

spec

13.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	APIVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これを更新することはできません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes の正確に 1 つを設定する必要があります
`status`	`object`	SubjectAccessReviewStatus

13.1.1. .spec

説明: SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes の正確に 1 つを設定する必要があります
型: object

プロパティー	型	説明
`extra`	`object`	Extra は、オーセンティケーターの user.Info.GetExtra () メソッドに対応します。それは承認者に入力されるので、ここで反映する必要があります。
`extra{}`	`array (string)`
`groups`	`array (string)`	グループは、テストしているグループです。
`nonResourceAttributes`	`object`	NonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる承認属性が含まれています
`resourceAttributes`	`object`	ResourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています
`uid`	`string`	要求しているユーザーに関する UID 情報。
`user`	`string`	ユーザーは、テストしているユーザーです。"ユーザー" を指定し、"グループ" を指定せず、ユーザーがどのグループのメンバーでもなかった場合はどうなりますかと解釈されますか ?

13.1.2. .spec.extra

説明: Extra は、オーセンティケーターの user.Info.GetExtra () メソッドに対応します。それは承認者に入力されるので、ここで反映する必要があります。
型: object

13.1.3. .spec.nonResourceAttributes

説明: NonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる承認属性が含まれています
型: object

プロパティー	型	説明
`path`	`string`	パスはリクエストの URL パスです
`verb`	`string`	動詞は標準の HTTP 動詞です

13.1.4. .spec.resourceAttributes

説明: ResourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています
型: object

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	名前は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、名前空間なしとすべての名前空間の区別はありません ""(空) は LocalSubjectAccessReviews のデフォルトです ""(空) はクラスタースコープのリソースでは空です ""(空) は SubjectAccessReview からの名前空間スコープのリソースの " すべて " を意味します SelfSubjectAccessReview
`resource`	`string`	リソースは、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	サブリソースは、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	動詞は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

13.1.5. .status

説明

SubjectAccessReviewStatus

型

object

必須

allowed

プロパティー	型	説明
`allowed`	`boolean`	許可が必要です。アクションが許可される場合は true、それ以外の場合は false。
`拒否`	`boolean`	拒否はオプションです。アクションが拒否される場合は true、それ以外の場合は false。許可されたものと拒否されたものの両方が false である場合、承認者はアクションを承認するかどうかについて意見を持っていません。許可が true の場合、拒否は true ではない可能性があります。
`evaluationError`	`string`	EvaluationError は、許可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず許可ステータスを判別し続けることは完全に可能です。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	理由はオプションです。リクエストが許可または拒否された理由を示します。

13.2. API エンドポイント

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/subjectaccessreviews
- POST:SubjectAccessReview を作成します

13.2.1. /apis/authorization.k8s.io/v1/subjectaccessreviews

表13.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これが指定されている場合は、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべての dryRun ステージが処理されます。
`fieldManager`	`string`	fieldManager は、これらの変更を行っているアクターまたはエンティティーに関連付けられた名前です。値は 128 文字未満である必要があり、https://golang.org/pkg/unicode/#IsPrint で定義されているように、印刷可能な文字のみが含まれている必要があります。
`fieldValidation`	`string`	fieldValidation は、`ServerSideFieldValidation` フィーチャーゲートも有効になっている場合に、不明または重複するフィールドを含む要求 (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは v1.23 以前のデフォルトの動作であり、`ServerSideFieldValidation` フィーチャーゲートが無効な場合のデフォルトの動作でもあります。警告: オブジェクトから削除された不明なフィールドと、検出された重複したフィールドごとに、標準の警告応答ヘッダーを介して警告を送ります。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは、`ServerSideFieldValidation` フィーチャーゲートが有効になっている場合のデフォルトです。Strict: オブジェクトから不明なフィールドが削除される場合、または重複するフィールドが存在する場合に、要求は BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。
`pretty`	`string`	'true' の場合は、出力が整形表示 (Pretty-print) されます。

HTTP メソッド: POST
説明: SubjectAccessReview の作成

表13.2 本文パラメーター
パラメーター	型	説明
`body`	`SubjectAccessReview` スキーマ

表13.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SubjectAccessReview` スキーマ
201 - Created	`SubjectAccessReview` スキーマ
202 - Accepted	`SubjectAccessReview` スキーマ
401 - Unauthorized	空白

認可 API のリファレンスガイド

第1章 Authorization APIs

1.1. LocalResourceAccessReview [authorization.openshift.io/v1]

1.2. LocalSubjectAccessReview [authorization.openshift.io/v1]

1.3. ResourceAccessReview [authorization.openshift.io/v1]

1.4. SelfSubjectRulesReview [authorization.openshift.io/v1]

1.5. SubjectAccessReview [authorization.openshift.io/v1]

1.6. SubjectRulesReview [authorization.openshift.io/v1]

1.7. TokenRequest [authentication.k8s.io/v1]

1.8. TokenReview [authentication.k8s.io/v1]

1.9. LocalSubjectAccessReview [authorization.k8s.io/v1]

1.10. SelfSubjectAccessReview [authorization.k8s.io/v1]

1.11. SelfSubjectRulesReview [authorization.k8s.io/v1]

1.12. SubjectAccessReview [authorization.k8s.io/v1]

第2章 LocalResourceAccessReview [authorization.openshift.io/v1]

2.1. 仕様

2.2. API エンドポイント

2.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviews

第3章 LocalSubjectAccessReview [authorization.openshift.io/v1]

3.1. 仕様

3.2. API エンドポイント

3.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviews

第4章 ResourceAccessReview [authorization.openshift.io/v1]

4.1. 仕様

4.2. API エンドポイント

4.2.1. /apis/authorization.openshift.io/v1/resourceaccessreviews

第5章 SelfSubjectRulesReview [authorization.openshift.io/v1]

5.1. 仕様

5.1.1. .spec

5.1.2. .status

5.1.3. .status.rules

5.1.4. .status.rules[]

5.2. API エンドポイント

5.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviews

第6章 SubjectAccessReview [authorization.openshift.io/v1]

6.1. 仕様

6.2. API エンドポイント

6.2.1. /apis/authorization.openshift.io/v1/subjectaccessreviews

第7章 SubjectRulesReview [authorization.openshift.io/v1]

7.1. 仕様

7.1.1. .spec

7.1.2. .status

7.1.3. .status.rules

7.1.4. .status.rules[]

7.2. API エンドポイント

7.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviews

第8章 TokenRequest [authentication.k8s.io/v1]

8.1. 仕様

8.1.1. .spec

8.1.2. .spec.boundObjectRef

8.1.3. .status

8.2. API エンドポイント

8.2.1. /api/v1/namespaces/{namespace}/serviceaccounts/{name}/token

第9章 TokenReview [authentication.k8s.io/v1]

9.1. 仕様

9.1.1. .spec

9.1.2. .status

9.1.3. .status.user

9.1.4. .status.user.extra

9.2. API エンドポイント

9.2.1. /apis/oauth.openshift.io/v1/tokenreviews

9.2.2. /apis/authentication.k8s.io/v1/tokenreviews

第10章 LocalSubjectAccessReview [authorization.k8s.io/v1]

10.1. 仕様

10.1.1. .spec

10.1.2. .spec.extra

10.1.3. .spec.nonResourceAttributes

10.1.4. .spec.resourceAttributes

10.1.5. .status

10.2. API エンドポイント

10.2.1. /apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviews

第11章 SelfSubjectAccessReview [authorization.k8s.io/v1]

11.1. 仕様

11.1.1. .spec

11.1.2. .spec.nonResourceAttributes

11.1.3. .spec.resourceAttributes

11.1.4. .status

11.2. API エンドポイント

11.2.1. /apis/authorization.k8s.io/v1/selfsubjectaccessreviews