Red Hat Summit第13章 SelfSubjectRulesReview [authorization.k8s.io/v1]
- 説明
- SelfSubjectRulesReview は、現在のユーザーが namespace 内で実行できるアクションのセットを列挙します。サーバーの認証モード、および評価中に発生したエラーに応じて、返されるアクションのリストが不完全な場合があります。SelfSubjectRulesReview は、UI でアクションを表示/非表示にしたり、エンドユーザーにパーミッションに関する理由を素早く伝えたりするために使用します。これは、代理人の混乱、キャッシュの有効期限/失効、および正確性の懸念を引き起こすため、承認の決定を推進するために外部システムに使用されるべきではありません。SubjectAccessReview および LocalAccessReview は、API サーバーへの承認決定を遅らせる正しい方法です。
- 型
-
object - 必須
-
spec
-
13.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
| 標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
|
| SelfSubjectRulesReviewSpec は、SelfSubjectRulesReview の仕様を定義します。 |
|
|
| SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。このチェックは、サーバーが設定されている Authorizer のセットと、評価中に発生したエラーによっては不完全になる可能性があります。認可ルールは付加的なものであるため、ルールがリストに表示されている場合は、そのリストが不完全であっても、サブジェクトがその許可を持っていると見なすのが安全です。 |
13.1.1. .spec
- 説明
- SelfSubjectRulesReviewSpec は、SelfSubjectRulesReview の仕様を定義します。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| ルールを評価するための namespace。必須。 |
13.1.2. .status
- 説明
- SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。このチェックは、サーバーが設定されている Authorizer のセットと、評価中に発生したエラーによっては不完全になる可能性があります。認可ルールは付加的なものであるため、ルールがリストに表示されている場合は、そのリストが不完全であっても、サブジェクトがその許可を持っていると見なすのが安全です。
- 型
-
object - 必須
-
resourceRules -
nonResourceRules -
incomplete
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| evaluationError は、ルールと組み合わせて表示される場合があります。これは、ルール評価をサポートしていない Authorizer など、ルール評価中にエラーが発生したこと、および ResourceRules や NonResourceRules が不完全である可能性があることを示しています。 |
|
|
| この呼び出しによって返されるルールが不完全な場合、Incomplete は true です。これは、外部の Authorizer などの Authorizer がルールの評価をサポートしていない場合に最もよく発生します。 |
|
|
| nonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。 |
|
|
| nonResourceRule は、非リソースのルールを説明する情報を保持します。 |
|
|
| resourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。 |
|
|
| resourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。 |
13.1.3. .status.nonResourceRules
- 説明
- nonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
- 型
-
array
13.1.4. .status.nonResourceRules[]
- 説明
- nonResourceRule は、非リソースのルールを説明する情報を保持します。
- 型
-
object - 必須
-
verbs
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| nonResourceURLs は、ユーザーがアクセスできる必要のある部分的な URL のセットです。s は許可されますが、パスの完全な最終ステップとしてのみ許可されます。"" はすべてを意味します。 |
|
|
| verbs は、get、post、put、delete、patch、head、options などの kubernetes の非リソース API 動詞のリストです。"*" はすべてを意味します。 |
13.1.5. .status.resourceRules
- 説明
- resourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
- 型
-
array
13.1.6. .status.resourceRules[]
- 説明
- resourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
- 型
-
object - 必須
-
verbs
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiGroups は、リソースを含む APIGroup の名前です。複数の API グループが指定されている場合は、任意の API グループ内の列挙されたリソースの 1 つに対して要求されたすべてのアクションが許可されます。"*" はすべてを意味します。 |
|
|
| resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。"*" はすべてを意味します。 |
|
|
| resources は、このルールが適用されるリソースのリストです。"" は、指定された apiGroups 内のすべてを意味します。"/foo" は、指定された apiGroups 内のすべてのリソースのサブリソース 'foo' を表します。 |
|
|
| verbs は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞のリストです。"*" はすべてを意味します。 |
