13.2. 認証されていないグループのクラスターロールへの追加
クラスター管理者は、クラスターロールバインディングを作成することにより、OpenShift Container Platform の次のクラスターロールに認証されていないユーザーを追加できます。認証されていないユーザーには、パブリックではないクラスターロールへのアクセス権はありません。これは、特定のユースケースで必要な場合にのみ行うようにしてください。
認証されていないユーザーを以下のクラスターロールに追加できます。
-
system:scope-impersonation -
system:webhook -
system:oauth-token-deleter -
self-access-reviewer
重要
認証されていないアクセスを変更するときは、常に組織のセキュリティー標準に準拠していることを確認してください。
前提条件
-
cluster-adminロールを持つユーザーとしてクラスターにアクセスできる。 -
OpenShift CLI (
oc) がインストールされている。
手順
add-<cluster_role>-unauth.yamlという名前の YAML ファイルを作成し、次のコンテンツを追加します。apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRoleBinding metadata: annotations: rbac.authorization.kubernetes.io/autoupdate: "true" name: <cluster_role>access-unauthenticated roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: <cluster_role> subjects: - apiGroup: rbac.authorization.k8s.io kind: Group name: system:unauthenticated
以下のコマンドを実行して設定を適用します。
$ oc apply -f add-<cluster_role>.yaml
