第1章 認証および認可の概要
1.1. OpenShift Container Platform の認証および認可に関する一般的な用語集
この用語集では、OpenShift Container Platform の認証および認可で使用される一般的な用語を定義します。
- 認証
- 認証は、OpenShift Container Platform クラスターへのアクセスを決定し、認証されたユーザーのみが OpenShift Container Platform クラスターにアクセスできるようにします。
- 認可
- 認可は、要求されたアクションを実行するパーミッションを識別されたユーザーが持っているかどうかを決定します。
- ベアラートークン
-
ベアラートークンは、ヘッダー
Authorization: Bearer <token>
で API を認証するために使用されます。 - Cloud Credential Operator
- Cloud Credential Operator (CCO) は、クラウドプロバイダーの認証情報をカスタムリソース定義 (CRD) として管理します。
- 設定マップ
-
config map は、設定データを Pod に注入する方法を提供します。タイプ
ConfigMap
のボリューム内の config map に格納されたデータを参照できます。Pod で実行しているアプリケーションは、このデータを使用できます。 - コンテナー
- ソフトウェアとそのすべての依存関係を設定する軽量で実行可能なイメージ。コンテナーはオペレーティングシステムを仮想化するため、データセンター、パブリッククラウドまたはプライベートクラウド、またはローカルホストでコンテナーを実行できます。
- カスタムリソース (CR)
- CR は Kubernetes API のエクステンションです。
- グループ
- グループはユーザーの集まりです。グループは、一度に複数のユーザーにパーミッションを付与する場合に便利です。
- HTPasswd
- HTPasswd は、HTTP ユーザーの認証用のユーザー名とパスワードを格納するファイルを更新します。
- Keystone
- Keystone は、ID、トークン、カタログ、およびポリシーサービスを提供する Red Hat OpenStack Platform (RHOSP) プロジェクトです。
- Lightweight Directory Access Protocol (LDAP)
- LDAP は、ユーザー情報を照会するプロトコルです。
- 手動モード
- 手動モードでは、ユーザーは Cloud Credential Operator (CCO) の代わりにクラウド認証情報を管理します。
- mint モード
- mint モードは、サポートされるプラットフォームで使用する Cloud Credential Operator (CCO) のデフォルトおよび推奨されるベストプラクティスの設定です。このモードでは、CCO は提供される管理者レベルのクラウド認証情報を使用して、必要となる特定のパーミッションのみでクラスター内のコンポーネントの新規の認証情報を作成します。
- namespace
- namespace は、すべてのプロセスから見える特定のシステムリソースを分離します。namespace 内では、その namespace のメンバーであるプロセスのみがそれらのリソースを参照できます。
- node
- ノードは、OpenShift Container Platform クラスター内のワーカーマシンです。ノードは、仮想マシン (VM) または物理マシンのいずれかです。
- OAuth クライアント
- OAuth クライアントは、ベアラートークンを取得するために使用されます。
- OAuth サーバー
- OpenShift Container Platform コントロールプレーンには、設定されたアイデンティティープロバイダーからユーザーのアイデンティティーを決定し、アクセストークンを作成する組み込みの OAuth サーバーが含まれています。
- OpenID Connect
- OpenID Connect は、ユーザーが Single Sign-On (SSO) を使用して OpenID プロバイダーを使用するサイトにアクセスすることを認証するためのプロトコルです。
- passthrough モード
- passthrough モードでは、Cloud Credential Operator (CCO) は提供されるクラウド認証情報を、コンポーネントを要求するコンポーネントに渡します。
- Pod
- Pod は、Kubernetes における最小の論理単位です。Pod は、ワーカーノードで実行される 1 つ以上のコンテナーで構成されます。
- 通常ユーザー
- 最初のログイン時または API 経由でクラスター内に自動的に作成されるユーザー。
- リクエストヘッダー
- 要求ヘッダーは、サーバーが要求の応答を追跡できるように、HTTP 要求コンテキストに関する情報を提供するために使用される HTTP ヘッダーです。
- ロールベースのアクセス制御 (RBAC)
- クラスターユーザーとワークロードが、ロールを実行するために必要なリソースにのみアクセスできるようにするための重要なセキュリティーコントロール。
- サービスアカウント
- サービスアカウントは、クラスターコンポーネントまたはアプリケーションによって使用されます。
- システムユーザー
- クラスターのインストール時に自動的に作成されるユーザー。
- ユーザー
- ユーザーは、API にリクエストを送信できるエンティティーです。