第10章 LocalSubjectAccessReview [authorization.k8s.io/v1]

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかを確認します。namespace のスコープ指定されたリソースがあると、パーミッションチェックを含む namespace のスコープ指定されたポリシーの付与がはるかに容易になります。

型

object

必須

spec

10.1. 仕様

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
`status`	`object`	SubjectAccessReviewStatus

10.1.1. .spec

説明: SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
型: object

プロパティー	型	説明
`extra`	`object`	extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。
`extra{}`	`array (string)`
`groups`	`array (string)`	groups は、テストしているグループです。
`nonResourceAttributes`	`object`	nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
`resourceAttributes`	`object`	resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
`uid`	`string`	要求しているユーザーに関する UID 情報。
`user`	`string`	user は、テストしているユーザーです。"user" を指定し、"groups" を指定しない場合は、「そのユーザーがどのグループにも所属していなかったらどうなるか」という意味になります。

10.1.2. .spec.extra

説明: extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。
型: object

10.1.3. .spec.nonResourceAttributes

説明: nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
型: object

プロパティー	型	説明
`path`	`string`	path はリクエストの URL パスです。
`verb`	`string`	verb は標準の HTTP 動詞です。

10.1.4. .spec.resourceAttributes

説明: resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
型: object

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	name は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。
`resource`	`string`	resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

10.1.5. .status

説明

SubjectAccessReviewStatus

型

object

必須

allowed

プロパティー	型	説明
`allowed`	`boolean`	allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。
`denied`	`boolean`	denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。
`evaluationError`	`string`	evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	reason はオプションです。リクエストが許可または拒否された理由を示します。

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.