Authorization API

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

LocalResourceAccessReview スキーマ

200 - OK

LocalResourceAccessReview スキーマ

201 - Created

LocalResourceAccessReview スキーマ

202 - Accepted

LocalResourceAccessReview スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

LocalSubjectAccessReview スキーマ

200 - OK

LocalSubjectAccessReview スキーマ

201 - Created

LocalSubjectAccessReview スキーマ

202 - Accepted

LocalSubjectAccessReview スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

ResourceAccessReview スキーマ

200 - OK

ResourceAccessReview スキーマ

201 - Created

ResourceAccessReview スキーマ

202 - Accepted

ResourceAccessReview スキーマ

401 - Unauthorized

空白

scopes

array (string)

scopes は評価に使用します。empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。Nil は、"このリクエストでスコープを使用" することを意味します。

evaluationError

string

evaluationError は、ルールと組み合わせて表示される場合があります。これは、評価中にエラーが発生し、追加のルールを設定できなかった可能性があることを意味します。

rules

array

rules は、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。

rules[]

object

PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

apiGroups

array (string)

apiGroups は、リソースを含む APIGroup の名前です。このフィールドが空の場合は、kubernetes と origin API グループの両方が想定されます。つまり、kubernetes またはオリジン API グループのいずれかで列挙されたリソースのいずれかに対してアクションがリクエストされると、そのリクエストは許可されます。

attributeRestrictions

RawExtension

attributeRestrictions は、Authorizer/AuthorizationAttributeBuilder ペアがサポートするものに応じて異なります。authorizer が AttributeRestrictions の処理方法を認識しないと、authorizer がエラーを報告します。

nonResourceURLs

array (string)

nonResourceURLsSlice は、ユーザーがアクセスできる必要のある部分的な URL のセットです。* は許可されますが、パスの完全な最終ステップとしてのみこの名前は内部タイプとは意図的に異なります。これにより、DefaultConvert が適切に機能し、順序が異なる場合があります。

resourceNames

array (string)

resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。

resources

array (string)

resources は、このルールが適用されるリソースのリストです。resourceAll は、すべてのリソースを表します。

verbs

array (string)

verbs は、このルールに含まれるすべての ResourceKinds と AttributeRestrictions に適用される動詞のリストです。verbAll はすべての種類を表します。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SelfSubjectRulesReview スキーマ

200 - OK

SelfSubjectRulesReview スキーマ

201 - Created

SelfSubjectRulesReview スキーマ

202 - Accepted

SelfSubjectRulesReview スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SubjectAccessReview スキーマ

200 - OK

SubjectAccessReview スキーマ

201 - Created

SubjectAccessReview スキーマ

202 - Accepted

SubjectAccessReview スキーマ

401 - Unauthorized

空白

groups

array (string)

groups はオプションです。groups は、ユーザーが属するグループのリストです。user または groups を少なくとも 1 つ指定する必要があります。

scopes

array (string)

scopes は評価に使用します。empty とは、"ユーザー/グループのスコープ外の (完全な) 権限を使用" することを意味します。

user

string

user はオプションです。user または groups を少なくとも 1 つ指定する必要があります。

evaluationError

string

evaluationError は、ルールと組み合わせて表示される場合があります。これは、評価中にエラーが発生し、追加のルールを設定できなかった可能性があることを意味します。

rules

array

rules は、サブジェクトに許可されているルール (特定の並べ替えなし) のリストです。

rules[]

object

PolicyRule は、ポリシールールを説明する情報を保持しますが、ルールが適用されるユーザーやルールが適用される namespace に関する情報は含まれません。

apiGroups

array (string)

apiGroups は、リソースを含む APIGroup の名前です。このフィールドが空の場合は、kubernetes と origin API グループの両方が想定されます。つまり、kubernetes またはオリジン API グループのいずれかで列挙されたリソースのいずれかに対してアクションがリクエストされると、そのリクエストは許可されます。

attributeRestrictions

RawExtension

attributeRestrictions は、Authorizer/AuthorizationAttributeBuilder ペアがサポートするものに応じて異なります。authorizer が AttributeRestrictions の処理方法を認識しないと、authorizer がエラーを報告します。

nonResourceURLs

array (string)

nonResourceURLsSlice は、ユーザーがアクセスできる必要のある部分的な URL のセットです。* は許可されますが、パスの完全な最終ステップとしてのみこの名前は内部タイプとは意図的に異なります。これにより、DefaultConvert が適切に機能し、順序が異なる場合があります。

resourceNames

array (string)

resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。

resources

array (string)

resources は、このルールが適用されるリソースのリストです。resourceAll は、すべてのリソースを表します。

verbs

array (string)

verbs は、このルールに含まれるすべての ResourceKinds と AttributeRestrictions に適用される動詞のリストです。verbAll はすべての種類を表します。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SubjectRulesReview スキーマ

200 - OK

SubjectRulesReview スキーマ

201 - Created

SubjectRulesReview スキーマ

202 - Accepted

SubjectRulesReview スキーマ

401 - Unauthorized

空白

userInfo

object

userInfo は、user.Info インターフェイスを実装するのに必要なユーザーに関する情報を保持します。

extra

object

オーセンティケーターから提供される追加情報。

extra{}

array (string)

groups

array (string)

このユーザーが参加しているグループの名前。

uid

string

時間の経過とともにこのユーザーを識別する一意の値。このユーザーが削除され、同じ名前の別のユーザーが追加されると、UID は異なります。

username

string

すべてのアクティブユーザーの中でこのユーザーを一意に識別する名前。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SelfSubjectReview スキーマ

200 - OK

SelfSubjectReview スキーマ

201 - Created

SelfSubjectReview スキーマ

202 - Accepted

SelfSubjectReview スキーマ

401 - Unauthorized

空白

audiences

array (string)

audiences は、トークンのオーディエンスです。トークンの受信者は、トークンのオーディエンスリストにある識別子を使用して自身を識別する必要があり、そうでない場合はトークンを拒否する必要があります。複数のオーディエンスに対して発行されたトークンは、リストされているオーディエンスのいずれかに対して認証するために使用できますが、ターゲットオーディエンス間の高度な信頼を意味します。

boundObjectRef

object

boundObjectReference は、トークンがバインドされているオブジェクトへの参照です。

expirationSeconds

integer

expirationSeconds は、リクエストされた要求の有効期間です。トークン発行者は、有効期間が異なるトークンを返す可能性があるため、クライアントは応答の 'expiration' フィールドを確認する必要があります。

apiVersion

string

参照先の API バージョン。

kind

string

参照先の種類。有効な種類は 'Pod' と 'Secret' です。

name

string

参照先の名前。

uid

string

参照先の UID。

expirationTimestamp

Time

expirationTimestamp は、返されたトークンの有効期限です。

token

string

token は不透明なベアラトークンです。

name

string

TokenRequest の名前

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

TokenRequest スキーマ

200 - OK

TokenRequest スキーマ

201 - Created

TokenRequest スキーマ

202 - Accepted

TokenRequest スキーマ

401 - Unauthorized

空白

audiences

array (string)

audiences は、トークンとともに提示されたリソースサーバーが識別する識別子のリストです。オーディエンス対応のトークンオーセンティケーターは、トークンがこのリストの少なくとも 1 つのオーディエンスを対象としていることを確認します。audiences が提供されていないと、オーディエンスはデフォルトで Kubernetes apiserver のオーディエンスになります。

token

string

token は不透明なベアラトークンです。

audiences

array (string)

audiences は、TokenReview とトークンの両方と互換性のあるオーセンティケーターによって選択されたオーディエンス識別子です。識別子は、TokenReviewSpec オーディエンスとトークンのオーディエンスの共通部分にある識別子です。spec.audiences フィールドを設定する TokenReview API のクライアントは、互換性のあるオーディエンス識別子が status.audiences フィールドに返されることを検証して、TokenReview サーバーがオーディエンスを認識していることを確認する必要があります。TokenReview が status.authenticated が "true" である空の status.audience フィールドを返す場合は、トークンが Kubernetes API サーバーのオーディエンスに対して有効です。

authenticated

boolean

authenticated は、トークンが既知のユーザーに関連付けられていることを示します。

error

string

error は、トークンをチェックできなかったことを示します

user

object

userInfo は、user.Info インターフェイスを実装するのに必要なユーザーに関する情報を保持します。

extra

object

オーセンティケーターから提供される追加情報。

extra{}

array (string)

groups

array (string)

このユーザーが参加しているグループの名前。

uid

string

時間の経過とともにこのユーザーを識別する一意の値。このユーザーが削除され、同じ名前の別のユーザーが追加されると、UID は異なります。

username

string

すべてのアクティブユーザーの中でこのユーザーを一意に識別する名前。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

TokenReview スキーマ

200 - OK

TokenReview スキーマ

201 - Created

TokenReview スキーマ

202 - Accepted

TokenReview スキーマ

401 - Unauthorized

空白

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

TokenReview スキーマ

200 - OK

TokenReview スキーマ

201 - Created

TokenReview スキーマ

202 - Accepted

TokenReview スキーマ

401 - Unauthorized

空白

extra

object

extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。

extra{}

array (string)

groups

array (string)

groups は、テストしているグループです。

nonResourceAttributes

object

nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。

resourceAttributes

object

resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。

uid

string

要求しているユーザーに関する UID 情報。

user

string

user は、テストしているユーザーです。"user" を指定し、"groups" を指定しない場合は、「そのユーザーがどのグループにも所属していなかったらどうなるか」という意味になります。

path

string

path はリクエストの URL パスです。

verb

string

verb は標準の HTTP 動詞です。

fieldSelector

object

fieldSelectorAttributes はアクセスが制限されたフィールドを示します。Webhook の作成者は、次の点に注意してください。* rawSelector と requirements の両方が設定されていないことを確認する * requirements フィールドが設定されている場合はそれを考慮する * rawSelector フィールドが設定されている場合は解析または考慮を試みない。これは、別の CVE-2022-2880 を回避するためです (異なるシステム間でクエリーの解析方法を統一するのは望ましくありません)。詳細は、https://www.oxeye.io/resources/golang-parameter-smuggling-attack を参照してください。kube-apiserver の *SubjectAccessReview エンドポイントの場合: * rawSelector も requirements も空の場合は、リクエストが制限されません。* rawSelector が存在し、requirements が空の場合は、rawSelector が解析され、解析が成功するとこれは制限されます。* rawSelector が空で要件が存在する場合は、要件が優先される必要があります。* rawSelector が存在し、要件が存在する場合は、リクエストは無効です。

group

string

group は、リソースの API グループです。"*" はすべてを意味します。

labelSelector

object

labelSelectorAttributes は、アクセスが制限されたラベルを示します。Webhook の作成者は、次の点に注意してください。* rawSelector と requirements の両方が設定されていないことを確認する * requirements フィールドが設定されている場合はそれを考慮する * rawSelector フィールドが設定されている場合は解析または考慮を試みない。これは、別の CVE-2022-2880 を回避するためです (異なるシステム間でクエリーの解析方法を統一するのは望ましくありません)。詳細は、https://www.oxeye.io/resources/golang-parameter-smuggling-attack を参照してください。kube-apiserver の *SubjectAccessReview エンドポイントの場合: * rawSelector も requirements も空の場合は、リクエストが制限されません。* rawSelector が存在し、requirements が空の場合は、rawSelector が解析され、解析が成功するとこれは制限されます。* rawSelector が空で要件が存在する場合は、要件が優先される必要があります。* rawSelector が存在し、要件が存在する場合は、リクエストは無効です。

name

string

name は、"取得" のためにリクエストされているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。

namespace

string

namespace は、リクエストされているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。

resource

string

resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。

subresource

string

subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。

verb

string

verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。

version

string

version は、リソースの API バージョンです。"*" はすべてを意味します。

rawSelector

string

rawSelector は、クエリーパラメーターに含まれるフィールドセレクターのシリアル化です。Webhook 実装では、rawSelector を無視することが推奨されます。kube-apiserver の *SubjectAccessReview は、requirements が存在しない限り、rawSelector を解析します。

requirements

array (FieldSelectorRequirement)

requirements は、フィールドセレクターの解析された解釈です。リソースインスタンスがセレクターと一致するためには、requirements に含まれるすべての条件が適用される必要があります。Webhook 実装は要件を処理する必要がありますが、それをどのように処理するかは Webhook 次第です。Requirements はリクエストを制限する役割しか持たないため、内容が理解できない場合は、無制限のリクエストとして許可しても問題ありません。

rawSelector

string

rawSelector は、クエリーパラメーターに含まれるフィールドセレクターのシリアル化です。Webhook 実装では、rawSelector を無視することが推奨されます。kube-apiserver の *SubjectAccessReview は、requirements が存在しない限り、rawSelector を解析します。

requirements

array (LabelSelectorRequirement)

requirements は、ラベルセレクターを解析した結果の解釈です。リソースインスタンスがセレクターと一致するためには、requirements に含まれるすべての条件が適用される必要があります。Webhook 実装は要件を処理する必要がありますが、それをどのように処理するかは Webhook 次第です。Requirements はリクエストを制限する役割しか持たないため、内容が理解できない場合は、無制限のリクエストとして許可しても問題ありません。

allowed

boolean

allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。

denied

boolean

denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。

evaluationError

string

evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。

reason

string

reason はオプションです。リクエストが許可または拒否された理由を示します。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

LocalSubjectAccessReview スキーマ

200 - OK

LocalSubjectAccessReview スキーマ

201 - Created

LocalSubjectAccessReview スキーマ

202 - Accepted

LocalSubjectAccessReview スキーマ

401 - Unauthorized

空白

nonResourceAttributes

object

nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。

resourceAttributes

object

resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。

path

string

path はリクエストの URL パスです。

verb

string

verb は標準の HTTP 動詞です。

fieldSelector

object

fieldSelectorAttributes はアクセスが制限されたフィールドを示します。Webhook の作成者は、次の点に注意してください。* rawSelector と requirements の両方が設定されていないことを確認する * requirements フィールドが設定されている場合はそれを考慮する * rawSelector フィールドが設定されている場合は解析または考慮を試みない。これは、別の CVE-2022-2880 を回避するためです (異なるシステム間でクエリーの解析方法を統一するのは望ましくありません)。詳細は、https://www.oxeye.io/resources/golang-parameter-smuggling-attack を参照してください。kube-apiserver の *SubjectAccessReview エンドポイントの場合: * rawSelector も requirements も空の場合は、リクエストが制限されません。* rawSelector が存在し、requirements が空の場合は、rawSelector が解析され、解析が成功するとこれは制限されます。* rawSelector が空で要件が存在する場合は、要件が優先される必要があります。* rawSelector が存在し、要件が存在する場合は、リクエストは無効です。

group

string

group は、リソースの API グループです。"*" はすべてを意味します。

labelSelector

object

labelSelectorAttributes は、アクセスが制限されたラベルを示します。Webhook の作成者は、次の点に注意してください。* rawSelector と requirements の両方が設定されていないことを確認する * requirements フィールドが設定されている場合はそれを考慮する * rawSelector フィールドが設定されている場合は解析または考慮を試みない。これは、別の CVE-2022-2880 を回避するためです (異なるシステム間でクエリーの解析方法を統一するのは望ましくありません)。詳細は、https://www.oxeye.io/resources/golang-parameter-smuggling-attack を参照してください。kube-apiserver の *SubjectAccessReview エンドポイントの場合: * rawSelector も requirements も空の場合は、リクエストが制限されません。* rawSelector が存在し、requirements が空の場合は、rawSelector が解析され、解析が成功するとこれは制限されます。* rawSelector が空で要件が存在する場合は、要件が優先される必要があります。* rawSelector が存在し、要件が存在する場合は、リクエストは無効です。

name

string

name は、"取得" のためにリクエストされているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。

namespace

string

namespace は、リクエストされているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。

resource

string

resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。

subresource

string

subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。

verb

string

verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。

version

string

version は、リソースの API バージョンです。"*" はすべてを意味します。

rawSelector

string

rawSelector は、クエリーパラメーターに含まれるフィールドセレクターのシリアル化です。Webhook 実装では、rawSelector を無視することが推奨されます。kube-apiserver の *SubjectAccessReview は、requirements が存在しない限り、rawSelector を解析します。

requirements

array (FieldSelectorRequirement)

requirements は、フィールドセレクターの解析された解釈です。リソースインスタンスがセレクターと一致するためには、requirements に含まれるすべての条件が適用される必要があります。Webhook 実装は要件を処理する必要がありますが、それをどのように処理するかは Webhook 次第です。Requirements はリクエストを制限する役割しか持たないため、内容が理解できない場合は、無制限のリクエストとして許可しても問題ありません。

rawSelector

string

rawSelector は、クエリーパラメーターに含まれるフィールドセレクターのシリアル化です。Webhook 実装では、rawSelector を無視することが推奨されます。kube-apiserver の *SubjectAccessReview は、requirements が存在しない限り、rawSelector を解析します。

requirements

array (LabelSelectorRequirement)

requirements は、ラベルセレクターを解析した結果の解釈です。リソースインスタンスがセレクターと一致するためには、requirements に含まれるすべての条件が適用される必要があります。Webhook 実装は要件を処理する必要がありますが、それをどのように処理するかは Webhook 次第です。Requirements はリクエストを制限する役割しか持たないため、内容が理解できない場合は、無制限のリクエストとして許可しても問題ありません。

allowed

boolean

allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。

denied

boolean

denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。

evaluationError

string

evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。

reason

string

reason はオプションです。リクエストが許可または拒否された理由を示します。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SelfSubjectAccessReview スキーマ

200 - OK

SelfSubjectAccessReview スキーマ

201 - Created

SelfSubjectAccessReview スキーマ

202 - Accepted

SelfSubjectAccessReview スキーマ

401 - Unauthorized

空白

namespace

string

ルールを評価するための namespace。必須。

evaluationError

string

evaluationError は、ルールと組み合わせて表示される場合があります。これは、ルール評価をサポートしていない Authorizer など、ルール評価中にエラーが発生したこと、および ResourceRules や NonResourceRules が不完全である可能性があることを示しています。

incomplete

boolean

この呼び出しによって返されるルールが不完全な場合、Incomplete は true です。これは、外部の Authorizer などの Authorizer がルールの評価をサポートしていない場合に最もよく発生します。

nonResourceRules

array

nonResourceRules は、サブジェクトが非リソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

nonResourceRules[]

object

nonResourceRule は、非リソースのルールを説明する情報を保持します。

resourceRules

array

resourceRules は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

resourceRules[]

object

resourceRule は、サブジェクトがリソースに対して実行できるアクションのリストです。リストの順序は重要ではなく、重複が含まれている可能性があり、不完全である可能性があります。

nonResourceURLs

array (string)

nonResourceURLs は、ユーザーがアクセスできる必要のある部分的な URL のセットです。s は許可されますが、パスの完全な最終ステップとしてのみ許可されます。"" はすべてを意味します。

verbs

array (string)

verbs は、get、post、put、delete、patch、head、options などの kubernetes の非リソース API 動詞のリストです。"*" はすべてを意味します。

apiGroups

array (string)

apiGroups は、リソースを含む APIGroup の名前です。複数の API グループが指定されている場合は、任意の API グループ内の列挙されたリソースの 1 つに対して要求されたすべてのアクションが許可されます。"*" はすべてを意味します。

resourceNames

array (string)

resourceNames は、ルールが適用される名前のオプションのホワイトリストです。空のセットは、すべてが許可されていることを意味します。"*" はすべてを意味します。

resources

array (string)

resources は、このルールが適用されるリソースのリストです。"" は、指定された apiGroups 内のすべてを意味します。"/foo" は、指定された apiGroups 内のすべてのリソースのサブリソース 'foo' を表します。

verbs

array (string)

verbs は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞のリストです。"*" はすべてを意味します。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SelfSubjectRulesReview スキーマ

200 - OK

SelfSubjectRulesReview スキーマ

201 - Created

SelfSubjectRulesReview スキーマ

202 - Accepted

SelfSubjectRulesReview スキーマ

401 - Unauthorized

空白

extra

object

extra は、オーセンティケーターの user.Info.GetExtra() メソッドに対応します。これは Authorizer に入力されるため、ここで反映する必要があります。

extra{}

array (string)

groups

array (string)

groups は、テストしているグループです。

nonResourceAttributes

object

nonResourceAttributes には、Authorizer インターフェイスへの非リソース要求に使用できる許可属性が含まれています。

resourceAttributes

object

resourceAttributes には、Authorizer インターフェイスへのリソース要求に使用できる許可属性が含まれています。

uid

string

要求しているユーザーに関する UID 情報。

user

string

user は、テストしているユーザーです。"user" を指定し、"groups" を指定しない場合は、「そのユーザーがどのグループにも所属していなかったらどうなるか」という意味になります。

path

string

path はリクエストの URL パスです。

verb

string

verb は標準の HTTP 動詞です。

fieldSelector

object

fieldSelectorAttributes はアクセスが制限されたフィールドを示します。Webhook の作成者は、次の点に注意してください。* rawSelector と requirements の両方が設定されていないことを確認する * requirements フィールドが設定されている場合はそれを考慮する * rawSelector フィールドが設定されている場合は解析または考慮を試みない。これは、別の CVE-2022-2880 を回避するためです (異なるシステム間でクエリーの解析方法を統一するのは望ましくありません)。詳細は、https://www.oxeye.io/resources/golang-parameter-smuggling-attack を参照してください。kube-apiserver の *SubjectAccessReview エンドポイントの場合: * rawSelector も requirements も空の場合は、リクエストが制限されません。* rawSelector が存在し、requirements が空の場合は、rawSelector が解析され、解析が成功するとこれは制限されます。* rawSelector が空で要件が存在する場合は、要件が優先される必要があります。* rawSelector が存在し、要件が存在する場合は、リクエストは無効です。

group

string

group は、リソースの API グループです。"*" はすべてを意味します。

labelSelector

object

labelSelectorAttributes は、アクセスが制限されたラベルを示します。Webhook の作成者は、次の点に注意してください。* rawSelector と requirements の両方が設定されていないことを確認する * requirements フィールドが設定されている場合はそれを考慮する * rawSelector フィールドが設定されている場合は解析または考慮を試みない。これは、別の CVE-2022-2880 を回避するためです (異なるシステム間でクエリーの解析方法を統一するのは望ましくありません)。詳細は、https://www.oxeye.io/resources/golang-parameter-smuggling-attack を参照してください。kube-apiserver の *SubjectAccessReview エンドポイントの場合: * rawSelector も requirements も空の場合は、リクエストが制限されません。* rawSelector が存在し、requirements が空の場合は、rawSelector が解析され、解析が成功するとこれは制限されます。* rawSelector が空で要件が存在する場合は、要件が優先される必要があります。* rawSelector が存在し、要件が存在する場合は、リクエストは無効です。

name

string

name は、"取得" のためにリクエストされているリソース、または "削除" のために削除されているリソースの名前です。"" (空) はすべてを意味します。

namespace

string

namespace は、リクエストされているアクションの namespace です。現在、namespace なしとすべての namespace の区別はありません。""(空) は LocalSubjectAccessReviews のデフォルトです。""(空) はクラスタースコープのリソースでは空です。""(空) は SubjectAccessReview または SelfSubjectAccessReview からの namespace スコープのリソースの "すべて" を意味します。

resource

string

resource は、既存のリソースタイプの 1 つです。"*" はすべてを意味します。

subresource

string

subresource は、既存のリソースタイプの 1 つです。"" は何もないことを意味します。

verb

string

verb は、get、list、watch、create、update、delete、proxy などの kubernetes リソース API 動詞です。"*" はすべてを意味します。

version

string

version は、リソースの API バージョンです。"*" はすべてを意味します。

rawSelector

string

rawSelector は、クエリーパラメーターに含まれるフィールドセレクターのシリアル化です。Webhook 実装では、rawSelector を無視することが推奨されます。kube-apiserver の *SubjectAccessReview は、requirements が存在しない限り、rawSelector を解析します。

requirements

array (FieldSelectorRequirement)

requirements は、フィールドセレクターの解析された解釈です。リソースインスタンスがセレクターと一致するためには、requirements に含まれるすべての条件が適用される必要があります。Webhook 実装は要件を処理する必要がありますが、それをどのように処理するかは Webhook 次第です。Requirements はリクエストを制限する役割しか持たないため、内容が理解できない場合は、無制限のリクエストとして許可しても問題ありません。

rawSelector

string

rawSelector は、クエリーパラメーターに含まれるフィールドセレクターのシリアル化です。Webhook 実装では、rawSelector を無視することが推奨されます。kube-apiserver の *SubjectAccessReview は、requirements が存在しない限り、rawSelector を解析します。

requirements

array (LabelSelectorRequirement)

requirements は、ラベルセレクターを解析した結果の解釈です。リソースインスタンスがセレクターと一致するためには、requirements に含まれるすべての条件が適用される必要があります。Webhook 実装は要件を処理する必要がありますが、それをどのように処理するかは Webhook 次第です。Requirements はリクエストを制限する役割しか持たないため、内容が理解できない場合は、無制限のリクエストとして許可しても問題ありません。

allowed

boolean

allowed は必須です。アクションを許可する場合は true、許可しない場合は false です。

denied

boolean

denied はオプションです。アクションを拒否する場合は true、許可しない場合は false です。allowed と denied の両方が false の場合は、Authorizer がアクションを許可するかどうかについて意見を持っていません。allowed が true の場合は、denied が true ではない可能性があります。

evaluationError

string

evaluationError は、認可チェック中にエラーが発生したことを示します。エラーが発生し、それにもかかわらず認可ステータスを判別し続けることはできます。たとえば、RBAC にロールがない可能性がありますが、十分なロールがまだ存在しており、要求の理由に拘束されています。

reason

string

reason はオプションです。リクエストが許可または拒否された理由を示します。

dryRun

string

これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。

fieldValidation

string

fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。

body

SubjectAccessReview スキーマ

200 - OK

SubjectAccessReview スキーマ

201 - Created

SubjectAccessReview スキーマ

202 - Accepted

SubjectAccessReview スキーマ

401 - Unauthorized

空白