Authorization API

第1章 Authorization API
リンクのコピー

1.1. LocalResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

LocalResourceAccessReview は、特定の namespace で仕様により指定されたアクションの実行を許可されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.2. LocalSubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.3. ResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

ResourceAccessReview は、仕様により指定されたアクションの実行を許可されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.4. SelfSubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

説明

SelfSubjectRulesReview は、namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.5. SubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.6. SubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

説明

SubjectRulesReview は、別のユーザーが namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

1.7. SelfSubjectReview [authentication.k8s.io/v1]
リンクのコピー

説明: SelfSubjectReview には、このリクエストを行ったユーザーに関する kube-apiserver が保持するユーザー情報が含まれています。偽装を使用すると、ユーザーは偽装されているユーザーのユーザー情報を受け取ります。偽装またはリクエストヘッダー認証が使用されていると、追加のキーの大文字と小文字は無視され、小文字で返されます。
型: object

1.8. TokenRequest [authentication.k8s.io/v1]
リンクのコピー

説明: TokenRequest は、指定のサービスアカウントのトークンを要求します。
型: object

1.9. TokenReview [authentication.k8s.io/v1]
リンクのコピー

説明: TokenReview は、既知のユーザーに対してトークンを認証します。注: TokenReview 要求は、kube-apiserver の webhook トークンオーセンティケータープラグインによりキャッシュされる場合があります。
型: object

1.10. LocalSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

説明: LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかを確認します。namespace のスコープ指定されたリソースがあると、パーミッションチェックを含む namespace のスコープ指定されたポリシーの付与がはるかに容易になります。
型: object

1.11. SelfSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

説明: SelfSubjectAccessReview は、現在のユーザーがアクションを実行できるかどうかを確認します。spec.namespace に入力しない場合は、"すべての namespace 内" を意味します。ユーザーは常にアクションを実行できるかどうかを確認できる必要があるため、Self は特殊なケースです。
型: object

1.12. SelfSubjectRulesReview [authorization.k8s.io/v1]
リンクのコピー

説明: SelfSubjectRulesReview は、現在のユーザーが namespace 内で実行できるアクションのセットを列挙します。サーバーの認証モード、および評価中に発生したエラーに応じて、返されるアクションのリストが不完全な場合があります。SelfSubjectRulesReview は、UI でアクションを表示/非表示にしたり、エンドユーザーにパーミッションに関する理由を素早く伝えたりするために使用します。これは、代理人の混乱、キャッシュの有効期限/失効、および正確性の懸念を引き起こすため、承認の決定を推進するために外部システムに使用されるべきではありません。SubjectAccessReview および LocalAccessReview は、API サーバーへの承認決定を遅らせる正しい方法です。
型: object

1.13. SubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

説明: SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかをチェックします。
型: object

第2章 LocalResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

LocalResourceAccessReview は、特定の namespace で仕様により指定されたアクションの実行を許可されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL

2.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	content は、作成および更新のリクエストの実際のコンテンツです。
`isNonResourceURL`	`boolean`	isNonResourceURL は、これが非リソース URL (リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。
`path`	`string`	path は非リソース URL のパスです。
`resource`	`string`	resourse は既存のリソースタイプの 1 つです。
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'groups' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	Version は、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を回避するために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	resourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`verb`	`string`	verb は、get、list、watch、create、update、delete のいずれかです。

2.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviews
- POST: LocalResourceAccessReview を作成する

2.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviews
リンクのコピー

Expand

表2.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: LocalResourceAccessReview を作成する

Expand

表2.2 ボディーパラメーター
パラメーター	型	説明
`body`	`LocalResourceAccessReview` スキーマ

Expand

表2.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`LocalResourceAccessReview` スキーマ
201 - Created	`LocalResourceAccessReview` スキーマ
202 - Accepted	`LocalResourceAccessReview` スキーマ
401 - Unauthorized	空白

第3章 LocalSubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL
user
groups
scopes

3.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	content は、作成および更新のリクエストの実際のコンテンツです。
`groups`	`array (string)`	groups はオプションです。groups は、ユーザーが属するグループのリストです。
`isNonResourceURL`	`boolean`	isNonResourceURL は、これが非リソース URL (リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。
`path`	`string`	path は非リソース URL のパスです。
`resource`	`string`	resourse は既存のリソースタイプの 1 つです。
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'groups' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	Version は、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を回避するために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	resourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`scopes`	`array (string)`	scopes は評価に使用します。empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。自己 SAR の場合、Nil は、"このリクエストでスコープを使用" することを意味します。通常の SAR の場合、Nil は、empty と同じ意味です。
`user`	`string`	user はオプションです。user と groups の両方が empty の場合は、現在認証されているユーザーが使用されます。
`verb`	`string`	verb は、get、list、watch、create、update、delete のいずれかです。

3.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviews
- POST: LocalSubjectAccessReview を作成する

3.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviews
リンクのコピー

Expand

表3.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: LocalSubjectAccessReview を作成する

Expand

表3.2 ボディーパラメーター
パラメーター	型	説明
`body`	`LocalSubjectAccessReview` スキーマ

Expand

表3.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`LocalSubjectAccessReview` スキーマ
201 - Created	`LocalSubjectAccessReview` スキーマ
202 - Accepted	`LocalSubjectAccessReview` スキーマ
401 - Unauthorized	空白

第4章 ResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

ResourceAccessReview は、仕様により指定されたアクションの実行を許可されているユーザーおよびグループのリストを要求する手段です。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL

4.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	content は、作成および更新のリクエストの実際のコンテンツです。
`isNonResourceURL`	`boolean`	isNonResourceURL は、これが非リソース URL (リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。
`path`	`string`	path は非リソース URL のパスです。
`resource`	`string`	resourse は既存のリソースタイプの 1 つです。
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'groups' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	Version は、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を回避するために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	resourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`verb`	`string`	verb は、get、list、watch、create、update、delete のいずれかです。

4.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/resourceaccessreviews
- POST: ResourceAccessReview を作成する

4.2.1. /apis/authorization.openshift.io/v1/resourceaccessreviews
リンクのコピー

Expand

表4.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: ResourceAccessReview を作成する

Expand

表4.2 ボディーパラメーター
パラメーター	型	説明
`body`	`ResourceAccessReview` スキーマ

Expand

表4.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`ResourceAccessReview` スキーマ
201 - Created	`ResourceAccessReview` スキーマ
202 - Accepted	`ResourceAccessReview` スキーマ
401 - Unauthorized	空白

第5章 SelfSubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

説明

SelfSubjectRulesReview は、namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

spec

5.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`spec`	`object`	SelfSubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します。
`status`	`object`	SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。

5.1.1. .spec
リンクのコピー

説明

SelfSubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します。

型

object

必須

scopes

Expand

プロパティー	型	説明
`scopes`	`array (string)`	scopes は評価に使用します。empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。Nil は、"このリクエストでスコープを使用" することを意味します。

5.1.2. .status
リンクのコピー

説明

SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。

型

object

必須

rules

Expand

プロパティー	型	説明
`evaluationError`	`string`	evaluationError は、ルールと組み合わせて表示される場合があります。これは、評価中にエラーが発生し、追加のルールを設定できなかった可能性があることを意味します。
`rules`	`array`	rules は、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
`rules[]`	`object`	PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

5.1.3. .status.rules
リンクのコピー

説明: rules は、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
型: array

5.1.4. .status.rules[]
リンクのコピー

説明

PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

型

object

必須

verbs
resources

Expand

プロパティー	型	説明
`apiGroups`	`array (string)`	apiGroups は、リソースを含む APIGroup の名前です。このフィールドが空の場合は、kubernetes と origin API グループの両方が想定されます。つまり、kubernetes またはオリジン API グループのいずれかで列挙されたリソースのいずれかに対してアクションがリクエストされると、そのリクエストは許可されます。
`attributeRestrictions`	`RawExtension`	attributeRestrictions は、Authorizer/AuthorizationAttributeBuilder ペアがサポートするものに応じて異なります。authorizer が AttributeRestrictions の処理方法を認識しないと、Authorizer がエラーを報告します。
`nonResourceURLs`	`array (string)`	nonResourceURLsSlice は、ユーザーがアクセスできる必要のある部分的な URL のセットです。* は許可されますが、パスの完全な最終ステップとしてのみこの名前は内部タイプとは意図的に異なります。これにより、DefaultConvert が適切に機能し、順序が異なる場合があります。
`resourceNames`	`array (string)`	resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。
`resources`	`array (string)`	resources は、このルールが適用されるリソースのリストです。resourceAll は、すべてのリソースを表します。
`verbs`	`array (string)`	verbs は、このルールに含まれるすべての ResourceKinds と AttributeRestrictions に適用される動詞のリストです。verbAll はすべての種類を表します。

5.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviews
- POST: SelfSubjectRulesReview を作成する

5.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviews
リンクのコピー

Expand

表5.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SelfSubjectRulesReview を作成する

Expand

表5.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SelfSubjectRulesReview` スキーマ

Expand

表5.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectRulesReview` スキーマ
201 - Created	`SelfSubjectRulesReview` スキーマ
202 - Accepted	`SelfSubjectRulesReview` スキーマ
401 - Unauthorized	空白

第6章 SubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

説明

SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかに関する情報を要求するオブジェクトです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

namespace
verb
resourceAPIGroup
resourceAPIVersion
resource
resourceName
path
isNonResourceURL
user
groups
scopes

6.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`content`	`RawExtension`	content は、作成および更新のリクエストの実際のコンテンツです。
`groups`	`array (string)`	GroupsSlice はオプションです。groups は、ユーザーが属するグループのリストです。
`isNonResourceURL`	`boolean`	isNonResourceURL は、これが非リソース URL (リソース階層外) の要求である場合に true になります。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。
`path`	`string`	path は非リソース URL のパスです。
`resource`	`string`	resourse は既存のリソースタイプの 1 つです。
`resourceAPIGroup`	`string`	Group は、インライン化されたときに 'groups' フィールドとの混同を回避するために、resourceAPIGroup としてシリアル化されたリソースの API グループです。
`resourceAPIVersion`	`string`	Version は、インライン化されたときに TypeMeta.apiVersion および ObjectMeta.resourceVersion との混同を回避するために、resourceAPIVersion としてシリアル化されたリソースの API バージョンです。
`resourceName`	`string`	resourceName は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。
`scopes`	`array (string)`	scopes は評価に使用します。empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。自己 SAR の場合、Nil は、"このリクエストでスコープを使用" することを意味します。通常の SAR の場合、Nil は、empty と同じ意味です。
`user`	`string`	user はオプションです。user と groups の両方が empty の場合は、現在認証されているユーザーが使用されます。
`verb`	`string`	verb は、get、list、watch、create、update、delete のいずれかです。

6.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/subjectaccessreviews
- POST: SubjectAccessReview を作成する

6.2.1. /apis/authorization.openshift.io/v1/subjectaccessreviews
リンクのコピー

Expand

表6.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SubjectAccessReview を作成する

Expand

表6.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SubjectAccessReview` スキーマ

Expand

表6.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SubjectAccessReview` スキーマ
201 - Created	`SubjectAccessReview` スキーマ
202 - Accepted	`SubjectAccessReview` スキーマ
401 - Unauthorized	空白

第7章 SubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

説明

SubjectRulesReview は、別のユーザーが namespace で実行可能なアクションを判別するために作成できるリソースです。

互換性レベル 1: メジャーリリース内で最低 12 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。

型

object

必須

spec

7.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`spec`	`object`	SubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します。
`status`	`object`	SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。

7.1.1. .spec
リンクのコピー

説明

SubjectRulesReviewSpec は、チェックの実行方法に関する情報を追加します。

型

object

必須

user
groups
scopes

Expand

プロパティー	型	説明
`groups`	`array (string)`	groups はオプションです。groups は、ユーザーが属するグループのリストです。user または groups を少なくとも 1 つ指定する必要があります。
`scopes`	`array (string)`	scopes は評価に使用します。empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。
`user`	`string`	user はオプションです。user または groups を少なくとも 1 つ指定する必要があります。

7.1.2. .status
リンクのコピー

説明

SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。

型

object

必須

rules

Expand

プロパティー	型	説明
`evaluationError`	`string`	evaluationError は、ルールと組み合わせて表示される場合があります。これは、評価中にエラーが発生し、追加のルールを設定できなかった可能性があることを意味します。
`rules`	`array`	rules は、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
`rules[]`	`object`	PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

7.1.3. .status.rules
リンクのコピー

説明: rules は、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。
型: array

7.1.4. .status.rules[]
リンクのコピー

説明

PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

型

object

必須

verbs
resources

Expand

プロパティー	型	説明
`apiGroups`	`array (string)`	apiGroups は、リソースを含む APIGroup の名前です。このフィールドが空の場合は、kubernetes と origin API グループの両方が想定されます。つまり、kubernetes またはオリジン API グループのいずれかで列挙されたリソースのいずれかに対してアクションがリクエストされると、そのリクエストは許可されます。
`attributeRestrictions`	`RawExtension`	attributeRestrictions は、Authorizer/AuthorizationAttributeBuilder ペアがサポートするものに応じて異なります。authorizer が AttributeRestrictions の処理方法を認識しないと、Authorizer がエラーを報告します。
`nonResourceURLs`	`array (string)`	nonResourceURLsSlice は、ユーザーがアクセスできる必要のある部分的な URL のセットです。* は許可されますが、パスの完全な最終ステップとしてのみこの名前は内部タイプとは意図的に異なります。これにより、DefaultConvert が適切に機能し、順序が異なる場合があります。
`resourceNames`	`array (string)`	resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。
`resources`	`array (string)`	resources は、このルールが適用されるリソースのリストです。resourceAll は、すべてのリソースを表します。
`verbs`	`array (string)`	verbs は、このルールに含まれるすべての ResourceKinds と AttributeRestrictions に適用される動詞のリストです。verbAll はすべての種類を表します。

7.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviews
- POST: SubjectRulesReview を作成する

7.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviews
リンクのコピー

Expand

表7.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SubjectRulesReview を作成する

Expand

表7.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SubjectRulesReview` スキーマ

Expand

表7.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SubjectRulesReview` スキーマ
201 - Created	`SubjectRulesReview` スキーマ
202 - Accepted	`SubjectRulesReview` スキーマ
401 - Unauthorized	空白

第8章 SelfSubjectReview [authentication.k8s.io/v1]
リンクのコピー

説明: SelfSubjectReview には、このリクエストを行ったユーザーに関する kube-apiserver が保持するユーザー情報が含まれています。偽装を使用すると、ユーザーは偽装されているユーザーのユーザー情報を受け取ります。偽装またはリクエストヘッダー認証が使用されていると、追加のキーの大文字と小文字は無視され、小文字で返されます。
型: object

8.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`status`	`object`	SelfSubjectReviewStatus は kube-apiserver により入力され、ユーザーに送り返されます。

8.1.1. .status
リンクのコピー

説明: SelfSubjectReviewStatus は kube-apiserver により入力され、ユーザーに送り返されます。
型: object

Expand

プロパティー	型	説明
`userInfo`	`object`	userInfo は、user.Info インターフェイスを実装するのに必要なユーザーに関する情報を保持します。

8.1.2. .status.userInfo
リンクのコピー

説明: userInfo は、user.Info インターフェイスを実装するのに必要なユーザーに関する情報を保持します。
型: object

Expand

プロパティー	型	説明
`extra`	`object`	オーセンティケーターから提供される追加情報。
`extra{}`	`array (string)`
`groups`	`array (string)`	このユーザーが参加しているグループの名前。
`uid`	`string`	時間の経過とともにこのユーザーを識別する一意の値。このユーザーが削除され、同じ名前の別のユーザーが追加されると、UID は異なります。
`username`	`string`	すべてのアクティブユーザーの中でこのユーザーを一意に識別する名前。

8.1.3. .status.userInfo.extra
リンクのコピー

説明: オーセンティケーターから提供される追加情報。
型: object

8.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authentication.k8s.io/v1/selfsubjectreviews
- POST: SelfSubjectReview を作成する

8.2.1. /apis/authentication.k8s.io/v1/selfsubjectreviews
リンクのコピー

Expand

表8.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SelfSubjectReview を作成する

Expand

表8.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SelfSubjectReview` スキーマ

Expand

表8.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectReview` スキーマ
201 - Created	`SelfSubjectReview` スキーマ
202 - Accepted	`SelfSubjectReview` スキーマ
401 - Unauthorized	空白

第9章 TokenRequest [authentication.k8s.io/v1]
リンクのコピー

説明

TokenRequest は、指定のサービスアカウントのトークンを要求します。

型

object

必須

spec

9.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	TokenRequestSpec には、トークンリクエストのクライアント提供パラメーターが含まれています。
`status`	`object`	TokenRequestStatus は、トークンリクエストの結果です。

9.1.1. .spec
リンクのコピー

説明

TokenRequestSpec には、トークンリクエストのクライアント提供パラメーターが含まれています。

型

object

必須

audiences

Expand

プロパティー	型	説明
`audiences`	`array (string)`	audiences は、トークンのオーディエンスです。トークンの受信者は、トークンのオーディエンスリストにある識別子を使用して自身を識別する必要があり、そうでない場合はトークンを拒否する必要があります。複数のオーディエンスに対して発行されたトークンは、リストされているオーディエンスのいずれかに対して認証するために使用できますが、ターゲットオーディエンス間の高度な信頼を意味します。
`boundObjectRef`	`object`	boundObjectReference は、トークンがバインドされているオブジェクトへの参照です。
`expirationSeconds`	`integer`	expirationSeconds は、リクエストされた要求の有効期間です。トークン発行者は、有効期間が異なるトークンを返す可能性があるため、クライアントは応答の 'expiration' フィールドを確認する必要があります。

9.1.2. .spec.boundObjectRef
リンクのコピー

説明: boundObjectReference は、トークンがバインドされているオブジェクトへの参照です。
型: object

Expand

プロパティー	型	説明
`apiVersion`	`string`	参照先の API バージョン。
`kind`	`string`	参照先の種類。有効な種類は 'Pod' と 'Secret' です。
`name`	`string`	参照先の名前。
`uid`	`string`	参照先の UID。

9.1.3. .status
リンクのコピー

説明

TokenRequestStatus は、トークンリクエストの結果です。

型

object

必須

token
expirationTimestamp

Expand

プロパティー	型	説明
`expirationTimestamp`	time	expirationTimestamp は、返されたトークンの有効期限です。
`token`	`string`	token は不透明なベアラトークンです。

9.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/api/v1/namespaces/{namespace}/serviceaccounts/{name}/token
- POST: ServiceAccount のトークンを作成する

9.2.1. /api/v1/namespaces/{namespace}/serviceaccounts/{name}/token
リンクのコピー

Expand

表9.1 グローバルパスパラメーター
パラメーター	型	説明
`name`	`string`	TokenRequest の名前

Expand

表9.2 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: ServiceAccount のトークンを作成する

Expand

表9.3 ボディーパラメーター
パラメーター	型	説明
`body`	`TokenRequest` スキーマ

Expand

表9.4 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`TokenRequest` スキーマ
201 - Created	`TokenRequest` スキーマ
202 - Accepted	`TokenRequest` スキーマ
401 - Unauthorized	空白

第10章 TokenReview [authentication.k8s.io/v1]
リンクのコピー

説明

TokenReview は、既知のユーザーに対してトークンを認証します。注: TokenReview 要求は、kube-apiserver の webhook トークンオーセンティケータープラグインによりキャッシュされる場合があります。

型

object

必須

spec

10.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	TokenReviewSpec は、トークン認証リクエストの説明です。
`status`	`object`	TokenReviewStatus は、トークン認証リクエストの結果です。

10.1.1. .spec
リンクのコピー

説明: TokenReviewSpec は、トークン認証リクエストの説明です。
型: object

Expand

プロパティー	型	説明
`audiences`	`array (string)`	audiences は、トークンとともに提示されたリソースサーバーが識別する識別子のリストです。オーディエンス対応のトークンオーセンティケーターは、トークンがこのリストの少なくとも 1 つのオーディエンスを対象としていることを確認します。audiences が提供されていないと、オーディエンスはデフォルトで Kubernetes apiserver のオーディエンスになります。
`token`	`string`	token は不透明なベアラトークンです。

10.1.2. .status
リンクのコピー

説明: TokenReviewStatus は、トークン認証リクエストの結果です。
型: object

Expand

プロパティー	型	説明
`audiences`	`array (string)`	audiences は、TokenReview とトークンの両方と互換性のあるオーセンティケーターによって選択されたオーディエンス識別子です。識別子は、TokenReviewSpec オーディエンスとトークンのオーディエンスの共通部分にある識別子です。spec.audiences フィールドを設定する TokenReview API のクライアントは、互換性のあるオーディエンス識別子が status.audiences フィールドに返されることを検証して、TokenReview サーバーがオーディエンスを認識していることを確認する必要があります。TokenReview が status.authenticated が "true" である空の status.audience フィールドを返す場合は、トークンが Kubernetes API サーバーのオーディエンスに対して有効です。
`authenticated`	`boolean`	authenticated は、トークンが既知のユーザーに関連付けられていることを示します。
`error`	`string`	error は、トークンをチェックできなかったことを示します
`user`	`object`	userInfo は、user.Info インターフェイスを実装するのに必要なユーザーに関する情報を保持します。

10.1.3. .status.user
リンクのコピー

説明: userInfo は、user.Info インターフェイスを実装するのに必要なユーザーに関する情報を保持します。
型: object

Expand

プロパティー	型	説明
`extra`	`object`	オーセンティケーターから提供される追加情報。
`extra{}`	`array (string)`
`groups`	`array (string)`	このユーザーが参加しているグループの名前。
`uid`	`string`	時間の経過とともにこのユーザーを識別する一意の値。このユーザーが削除され、同じ名前の別のユーザーが追加されると、UID は異なります。
`username`	`string`	すべてのアクティブユーザーの中でこのユーザーを一意に識別する名前。

10.1.4. .status.user.extra
リンクのコピー

説明: オーセンティケーターから提供される追加情報。
型: object

10.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/oauth.openshift.io/v1/tokenreviews
- POST: TokenReview を作成する
/apis/authentication.k8s.io/v1/tokenreviews
- POST: TokenReview を作成する

10.2.1. /apis/oauth.openshift.io/v1/tokenreviews
リンクのコピー

Expand

表10.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: TokenReview を作成する

Expand

表10.2 ボディーパラメーター
パラメーター	型	説明
`body`	`TokenReview` スキーマ

Expand

表10.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`TokenReview` スキーマ
201 - Created	`TokenReview` スキーマ
202 - Accepted	`TokenReview` スキーマ
401 - Unauthorized	空白

10.2.2. /apis/authentication.k8s.io/v1/tokenreviews
リンクのコピー

Expand

表10.4 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: TokenReview を作成する

Expand

表10.5 ボディーパラメーター
パラメーター	型	説明
`body`	`TokenReview` スキーマ

Expand

表10.6 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`TokenReview` スキーマ
201 - Created	`TokenReview` スキーマ
202 - Accepted	`TokenReview` スキーマ
401 - Unauthorized	空白

第11章 LocalSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

説明

LocalSubjectAccessReview は、ユーザーまたはグループが特定の namespace でアクションを実行できるかどうかを確認します。namespace のスコープ指定されたリソースがあると、パーミッションチェックを含む namespace のスコープ指定されたポリシーの付与がはるかに容易になります。

型

object

必須

spec

11.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
`status`	`object`	SubjectAccessReviewStatus

11.1.1. .spec
リンクのコピー

説明: SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
型: object

Expand

プロパティー	型	説明
`extra`	`object`	extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。
`extra{}`	`array (string)`
`groups`	`array (string)`	groups は、テストしているグループです。
`nonResourceAttributes`	`object`	nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
`resourceAttributes`	`object`	resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
`uid`	`string`	要求しているユーザーに関する UID 情報。
`user`	`string`	user は、テストしているユーザーです。"user" を指定し、"groups" を指定しない場合は、「そのユーザーがどのグループにも所属していなかったらどうなるか」という意味になります。

11.1.2. .spec.extra
リンクのコピー

説明: extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。
型: object

11.1.3. .spec.nonResourceAttributes
リンクのコピー

説明: nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
型: object

Expand

プロパティー	型	説明
`path`	`string`	path はリクエストの URL パスです。
`verb`	`string`	verb は標準の HTTP 動詞です。

11.1.4. .spec.resourceAttributes
リンクのコピー

説明: resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
型: object

Expand

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	name は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。
`resource`	`string`	resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

11.1.5. .status
リンクのコピー

説明

SubjectAccessReviewStatus

型

object

必須

allowed

Expand

プロパティー	型	説明
`allowed`	`boolean`	allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。
`denied`	`boolean`	denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。
`evaluationError`	`string`	evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	reason はオプションです。リクエストが許可または拒否された理由を示します。

11.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviews
- POST: LocalSubjectAccessReview を作成する

11.2.1. /apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviews
リンクのコピー

Expand

表11.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: LocalSubjectAccessReview を作成する

Expand

表11.2 ボディーパラメーター
パラメーター	型	説明
`body`	`LocalSubjectAccessReview` スキーマ

Expand

表11.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`LocalSubjectAccessReview` スキーマ
201 - Created	`LocalSubjectAccessReview` スキーマ
202 - Accepted	`LocalSubjectAccessReview` スキーマ
401 - Unauthorized	空白

第12章 SelfSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

説明

SelfSubjectAccessReview は、現在のユーザーがアクションを実行できるかどうかを確認します。spec.namespace に入力しない場合は、"すべての namespace 内" を意味します。ユーザーは常にアクションを実行できるかどうかを確認できる必要があるため、Self は特殊なケースです。

型

object

必須

spec

12.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SelfSubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
`status`	`object`	SubjectAccessReviewStatus

12.1.1. .spec
リンクのコピー

説明: SelfSubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
型: object

Expand

プロパティー	型	説明
`nonResourceAttributes`	`object`	nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
`resourceAttributes`	`object`	resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。

12.1.2. .spec.nonResourceAttributes
リンクのコピー

説明: nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
型: object

Expand

プロパティー	型	説明
`path`	`string`	path はリクエストの URL パスです。
`verb`	`string`	verb は標準の HTTP 動詞です。

12.1.3. .spec.resourceAttributes
リンクのコピー

説明: resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
型: object

Expand

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	name は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。
`resource`	`string`	resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

12.1.4. .status
リンクのコピー

説明

SubjectAccessReviewStatus

型

object

必須

allowed

Expand

プロパティー	型	説明
`allowed`	`boolean`	allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。
`denied`	`boolean`	denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。
`evaluationError`	`string`	evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	reason はオプションです。リクエストが許可または拒否された理由を示します。

12.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/selfsubjectaccessreviews
- POST: SelfSubjectAccessReview を作成する

12.2.1. /apis/authorization.k8s.io/v1/selfsubjectaccessreviews
リンクのコピー

Expand

表12.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SelfSubjectAccessReview を作成する

Expand

表12.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SelfSubjectAccessReview` スキーマ

Expand

表12.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectAccessReview` スキーマ
201 - Created	`SelfSubjectAccessReview` スキーマ
202 - Accepted	`SelfSubjectAccessReview` スキーマ
401 - Unauthorized	空白

第13章 SelfSubjectRulesReview [authorization.k8s.io/v1]
リンクのコピー

説明

SelfSubjectRulesReview は、現在のユーザーが namespace 内で実行できるアクションのセットを列挙します。サーバーの認証モード、および評価中に発生したエラーに応じて、返されるアクションのリストが不完全な場合があります。SelfSubjectRulesReview は、UI でアクションを表示/非表示にしたり、エンドユーザーにパーミッションに関する理由を素早く伝えたりするために使用します。これは、代理人の混乱、キャッシュの有効期限/失効、および正確性の懸念を引き起こすため、承認の決定を推進するために外部システムに使用されるべきではありません。SubjectAccessReview および LocalAccessReview は、API サーバーへの承認決定を遅らせる正しい方法です。

型

object

必須

spec

13.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SelfSubjectRulesReviewSpec は、SelfSubjectRulesReview の仕様を定義します。
`status`	`object`	SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。このチェックは、サーバーが設定されている Authorizer のセットと、評価中に発生したエラーによっては不完全になる可能性があります。認可ルールは付加的なものであるため、ルールがリストに表示されている場合は、そのリストが不完全であっても、サブジェクトがその許可を持っていると見なすのが安全です。

13.1.1. .spec
リンクのコピー

説明: SelfSubjectRulesReviewSpec は、SelfSubjectRulesReview の仕様を定義します。
型: object

Expand

プロパティー	型	説明
`namespace`	`string`	ルールを評価するための namespace。必須。

13.1.2. .status
リンクのコピー

説明

SubjectRulesReviewStatus には、ルールチェックの結果が含まれています。このチェックは、サーバーが設定されている Authorizer のセットと、評価中に発生したエラーによっては不完全になる可能性があります。認可ルールは付加的なものであるため、ルールがリストに表示されている場合は、そのリストが不完全であっても、サブジェクトがその許可を持っていると見なすのが安全です。

型

object

必須

resourceRules
nonResourceRules
incomplete

Expand

プロパティー	型	説明
`evaluationError`	`string`	evaluationError は、ルールと組み合わせて表示される場合があります。これは、ルール評価をサポートしていない Authorizer など、ルール評価中にエラーが発生したこと、および ResourceRules や NonResourceRules が不完全である可能性があることを示しています。
`incomplete`	`boolean`	この呼び出しによって返されるルールが不完全な場合、Incomplete は true です。これは、外部の Authorizer などの Authorizer がルールの評価をサポートしていない場合に最もよく発生します。
`nonResourceRules`	`array`	nonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
`nonResourceRules[]`	`object`	nonResourceRule は、非リソースのルールを説明する情報を保持します。
`resourceRules`	`array`	resourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
`resourceRules[]`	`object`	resourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

13.1.3. .status.nonResourceRules
リンクのコピー

説明: nonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
型: array

13.1.4. .status.nonResourceRules[]
リンクのコピー

説明

nonResourceRule は、非リソースのルールを説明する情報を保持します。

型

object

必須

verbs

Expand

プロパティー	型	説明
`nonResourceURLs`	`array (string)`	nonResourceURLs は、ユーザーがアクセスできる必要のある部分的な URL のセットです。s は許可されますが、パスの完全な最終ステップとしてのみ許可されます。"" はすべてを意味します。
`verbs`	`array (string)`	verbs は、get、post、put、delete、patch、head、options などの kubernetes の非リソース API 動詞のリストです。"*" はすべてを意味します。

13.1.5. .status.resourceRules
リンクのコピー

説明: resourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。
型: array

13.1.6. .status.resourceRules[]
リンクのコピー

説明

resourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

型

object

必須

verbs

Expand

プロパティー	型	説明
`apiGroups`	`array (string)`	apiGroups は、リソースを含む APIGroup の名前です。複数の API グループが指定されている場合は、任意の API グループ内の列挙されたリソースの 1 つに対して要求されたすべてのアクションが許可されます。"*" はすべてを意味します。
`resourceNames`	`array (string)`	resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。"*" はすべてを意味します。
`resources`	`array (string)`	resources は、このルールが適用されるリソースのリストです。"" は、指定された apiGroups 内のすべてを意味します。"/foo" は、指定された apiGroups 内のすべてのリソースのサブリソース 'foo' を表します。
`verbs`	`array (string)`	verbs は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞のリストです。"*" はすべてを意味します。

13.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/selfsubjectrulesreviews
- POST: SelfSubjectRulesReview を作成する

13.2.1. /apis/authorization.k8s.io/v1/selfsubjectrulesreviews
リンクのコピー

Expand

表13.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SelfSubjectRulesReview を作成する

Expand

表13.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SelfSubjectRulesReview` スキーマ

Expand

表13.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SelfSubjectRulesReview` スキーマ
201 - Created	`SelfSubjectRulesReview` スキーマ
202 - Accepted	`SelfSubjectRulesReview` スキーマ
401 - Unauthorized	空白

第14章 SubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

説明

SubjectAccessReview は、ユーザーまたはグループがアクションを実行できるかどうかをチェックします。

型

object

必須

spec

14.1. 仕様
リンクのコピー

Expand

プロパティー	型	説明
`apiVersion`	`string`	apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。
`kind`	`string`	kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できる場合があります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。
`metadata`	`ObjectMeta`	標準のリストメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。
`spec`	`object`	SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
`status`	`object`	SubjectAccessReviewStatus

14.1.1. .spec
リンクのコピー

説明: SubjectAccessReviewSpec は、アクセス要求の説明です。ResourceAuthorizationAttributes と NonResourceAuthorizationAttributes のいずれかを設定する必要があります。
型: object

Expand

プロパティー	型	説明
`extra`	`object`	extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。
`extra{}`	`array (string)`
`groups`	`array (string)`	groups は、テストしているグループです。
`nonResourceAttributes`	`object`	nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
`resourceAttributes`	`object`	resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
`uid`	`string`	要求しているユーザーに関する UID 情報。
`user`	`string`	user は、テストしているユーザーです。"user" を指定し、"groups" を指定しない場合は、「そのユーザーがどのグループにも所属していなかったらどうなるか」という意味になります。

14.1.2. .spec.extra
リンクのコピー

説明: extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。
型: object

14.1.3. .spec.nonResourceAttributes
リンクのコピー

説明: nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。
型: object

Expand

プロパティー	型	説明
`path`	`string`	path はリクエストの URL パスです。
`verb`	`string`	verb は標準の HTTP 動詞です。

14.1.4. .spec.resourceAttributes
リンクのコピー

説明: resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。
型: object

Expand

プロパティー	型	説明
`group`	`string`	グループは、リソースの API グループです。"*" はすべてを意味します。
`name`	`string`	name は、"取得" のために要求されているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。
`namespace`	`string`	namespace は、要求されているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。
`resource`	`string`	resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。
`subresource`	`string`	subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。
`verb`	`string`	verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。
`version`	`string`	バージョンは、リソースの API バージョンです。"*" はすべてを意味します。

14.1.5. .status
リンクのコピー

説明

SubjectAccessReviewStatus

型

object

必須

allowed

Expand

プロパティー	型	説明
`allowed`	`boolean`	allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。
`denied`	`boolean`	denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。
`evaluationError`	`string`	evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。
`reason`	`string`	reason はオプションです。リクエストが許可または拒否された理由を示します。

14.2. API エンドポイント
リンクのコピー

以下の API エンドポイントを利用できます。

/apis/authorization.k8s.io/v1/subjectaccessreviews
- POST: SubjectAccessReview を作成する

14.2.1. /apis/authorization.k8s.io/v1/subjectaccessreviews
リンクのコピー

Expand

表14.1 グローバルクエリーパラメーター
パラメーター	型	説明
`dryRun`	`string`	これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。
`fieldValidation`	`string`	fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

HTTP メソッド: POST
説明: SubjectAccessReview を作成する

Expand

表14.2 ボディーパラメーター
パラメーター	型	説明
`body`	`SubjectAccessReview` スキーマ

Expand

表14.3 HTTP レスポンス
HTTP コード	レスポンスのボディー
200 - OK	`SubjectAccessReview` スキーマ
201 - Created	`SubjectAccessReview` スキーマ
202 - Accepted	`SubjectAccessReview` スキーマ
401 - Unauthorized	空白

認可 API のリファレンスガイド

第1章 Authorization APIリンクのコピーリンクがクリップボードにコピーされました!

1.1. LocalResourceAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.2. LocalSubjectAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.3. ResourceAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.4. SelfSubjectRulesReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.5. SubjectAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.6. SubjectRulesReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.7. SelfSubjectReview [authentication.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.8. TokenRequest [authentication.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.9. TokenReview [authentication.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.10. LocalSubjectAccessReview [authorization.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.11. SelfSubjectAccessReview [authorization.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.12. SelfSubjectRulesReview [authorization.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

1.13. SubjectAccessReview [authorization.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

第2章 LocalResourceAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

2.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

2.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

2.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviewsリンクのコピーリンクがクリップボードにコピーされました!

第3章 LocalSubjectAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

3.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

3.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

3.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviewsリンクのコピーリンクがクリップボードにコピーされました!

第4章 ResourceAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

4.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

4.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

4.2.1. /apis/authorization.openshift.io/v1/resourceaccessreviewsリンクのコピーリンクがクリップボードにコピーされました!

第5章 SelfSubjectRulesReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

5.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

5.1.1. .specリンクのコピーリンクがクリップボードにコピーされました!

5.1.2. .statusリンクのコピーリンクがクリップボードにコピーされました!

5.1.3. .status.rulesリンクのコピーリンクがクリップボードにコピーされました!

5.1.4. .status.rules[]リンクのコピーリンクがクリップボードにコピーされました!

5.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

5.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviewsリンクのコピーリンクがクリップボードにコピーされました!

第6章 SubjectAccessReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

6.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

6.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

6.2.1. /apis/authorization.openshift.io/v1/subjectaccessreviewsリンクのコピーリンクがクリップボードにコピーされました!

第7章 SubjectRulesReview [authorization.openshift.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

7.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

7.1.1. .specリンクのコピーリンクがクリップボードにコピーされました!

7.1.2. .statusリンクのコピーリンクがクリップボードにコピーされました!

7.1.3. .status.rulesリンクのコピーリンクがクリップボードにコピーされました!

7.1.4. .status.rules[]リンクのコピーリンクがクリップボードにコピーされました!

7.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

7.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviewsリンクのコピーリンクがクリップボードにコピーされました!

第8章 SelfSubjectReview [authentication.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

8.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

8.1.1. .statusリンクのコピーリンクがクリップボードにコピーされました!

8.1.2. .status.userInfoリンクのコピーリンクがクリップボードにコピーされました!

8.1.3. .status.userInfo.extraリンクのコピーリンクがクリップボードにコピーされました!

8.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

8.2.1. /apis/authentication.k8s.io/v1/selfsubjectreviewsリンクのコピーリンクがクリップボードにコピーされました!

第9章 TokenRequest [authentication.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

9.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

9.1.1. .specリンクのコピーリンクがクリップボードにコピーされました!

9.1.2. .spec.boundObjectRefリンクのコピーリンクがクリップボードにコピーされました!

9.1.3. .statusリンクのコピーリンクがクリップボードにコピーされました!

9.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

9.2.1. /api/v1/namespaces/{namespace}/serviceaccounts/{name}/tokenリンクのコピーリンクがクリップボードにコピーされました!

第10章 TokenReview [authentication.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

10.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

10.1.1. .specリンクのコピーリンクがクリップボードにコピーされました!

10.1.2. .statusリンクのコピーリンクがクリップボードにコピーされました!

10.1.3. .status.userリンクのコピーリンクがクリップボードにコピーされました!

10.1.4. .status.user.extraリンクのコピーリンクがクリップボードにコピーされました!

10.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

10.2.1. /apis/oauth.openshift.io/v1/tokenreviewsリンクのコピーリンクがクリップボードにコピーされました!

10.2.2. /apis/authentication.k8s.io/v1/tokenreviewsリンクのコピーリンクがクリップボードにコピーされました!

第11章 LocalSubjectAccessReview [authorization.k8s.io/v1]リンクのコピーリンクがクリップボードにコピーされました!

11.1. 仕様リンクのコピーリンクがクリップボードにコピーされました!

11.1.1. .specリンクのコピーリンクがクリップボードにコピーされました!

11.1.2. .spec.extraリンクのコピーリンクがクリップボードにコピーされました!

11.1.3. .spec.nonResourceAttributesリンクのコピーリンクがクリップボードにコピーされました!

11.1.4. .spec.resourceAttributesリンクのコピーリンクがクリップボードにコピーされました!

11.1.5. .statusリンクのコピーリンクがクリップボードにコピーされました!

11.2. API エンドポイントリンクのコピーリンクがクリップボードにコピーされました!

11.2.1. /apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviewsリンクのコピーリンクがクリップボードにコピーされました!

第1章 Authorization API
リンクのコピー

1.1. LocalResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

1.2. LocalSubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

1.3. ResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

1.4. SelfSubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

1.5. SubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

1.6. SubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

1.7. SelfSubjectReview [authentication.k8s.io/v1]
リンクのコピー

1.8. TokenRequest [authentication.k8s.io/v1]
リンクのコピー

1.9. TokenReview [authentication.k8s.io/v1]
リンクのコピー

1.10. LocalSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

1.11. SelfSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

1.12. SelfSubjectRulesReview [authorization.k8s.io/v1]
リンクのコピー

1.13. SubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

第2章 LocalResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

2.1. 仕様
リンクのコピー

2.2. API エンドポイント
リンクのコピー

2.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localresourceaccessreviews
リンクのコピー

第3章 LocalSubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

3.1. 仕様
リンクのコピー

3.2. API エンドポイント
リンクのコピー

3.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/localsubjectaccessreviews
リンクのコピー

第4章 ResourceAccessReview [authorization.openshift.io/v1]
リンクのコピー

4.1. 仕様
リンクのコピー

4.2. API エンドポイント
リンクのコピー

4.2.1. /apis/authorization.openshift.io/v1/resourceaccessreviews
リンクのコピー

第5章 SelfSubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

5.1. 仕様
リンクのコピー

5.1.1. .spec
リンクのコピー

5.1.2. .status
リンクのコピー

5.1.3. .status.rules
リンクのコピー

5.1.4. .status.rules[]
リンクのコピー

5.2. API エンドポイント
リンクのコピー

5.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/selfsubjectrulesreviews
リンクのコピー

第6章 SubjectAccessReview [authorization.openshift.io/v1]
リンクのコピー

6.1. 仕様
リンクのコピー

6.2. API エンドポイント
リンクのコピー

6.2.1. /apis/authorization.openshift.io/v1/subjectaccessreviews
リンクのコピー

第7章 SubjectRulesReview [authorization.openshift.io/v1]
リンクのコピー

7.1. 仕様
リンクのコピー

7.1.1. .spec
リンクのコピー

7.1.2. .status
リンクのコピー

7.1.3. .status.rules
リンクのコピー

7.1.4. .status.rules[]
リンクのコピー

7.2. API エンドポイント
リンクのコピー

7.2.1. /apis/authorization.openshift.io/v1/namespaces/{namespace}/subjectrulesreviews
リンクのコピー

第8章 SelfSubjectReview [authentication.k8s.io/v1]
リンクのコピー

8.1. 仕様
リンクのコピー

8.1.1. .status
リンクのコピー

8.1.2. .status.userInfo
リンクのコピー

8.1.3. .status.userInfo.extra
リンクのコピー

8.2. API エンドポイント
リンクのコピー

8.2.1. /apis/authentication.k8s.io/v1/selfsubjectreviews
リンクのコピー

第9章 TokenRequest [authentication.k8s.io/v1]
リンクのコピー

9.1. 仕様
リンクのコピー

9.1.1. .spec
リンクのコピー

9.1.2. .spec.boundObjectRef
リンクのコピー

9.1.3. .status
リンクのコピー

9.2. API エンドポイント
リンクのコピー

9.2.1. /api/v1/namespaces/{namespace}/serviceaccounts/{name}/token
リンクのコピー

第10章 TokenReview [authentication.k8s.io/v1]
リンクのコピー

10.1. 仕様
リンクのコピー

10.1.1. .spec
リンクのコピー

10.1.2. .status
リンクのコピー

10.1.3. .status.user
リンクのコピー

10.1.4. .status.user.extra
リンクのコピー

10.2. API エンドポイント
リンクのコピー

10.2.1. /apis/oauth.openshift.io/v1/tokenreviews
リンクのコピー

10.2.2. /apis/authentication.k8s.io/v1/tokenreviews
リンクのコピー

第11章 LocalSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

11.1. 仕様
リンクのコピー

11.1.1. .spec
リンクのコピー

11.1.2. .spec.extra
リンクのコピー

11.1.3. .spec.nonResourceAttributes
リンクのコピー

11.1.4. .spec.resourceAttributes
リンクのコピー

11.1.5. .status
リンクのコピー

11.2. API エンドポイント
リンクのコピー

11.2.1. /apis/authorization.k8s.io/v1/namespaces/{namespace}/localsubjectaccessreviews
リンクのコピー

第12章 SelfSubjectAccessReview [authorization.k8s.io/v1]
リンクのコピー

12.1. 仕様
リンクのコピー