5.6.6.8. Compliance Operator 用のカスタム SCC の作成

手順

1. restricted-adjusted-compliance.yaml という名前の YAML ファイルで SCC を定義します。

   SecurityContextConstraints オブジェクト定義

     allowHostDirVolumePlugin: false
     allowHostIPC: false
     allowHostNetwork: false
     allowHostPID: false
     allowHostPorts: false
     allowPrivilegeEscalation: true
     allowPrivilegedContainer: false
     allowedCapabilities: null
     apiVersion: security.openshift.io/v1
     defaultAddCapabilities: null
     fsGroup:
       type: MustRunAs
     kind: SecurityContextConstraints
     metadata:
       name: restricted-adjusted-compliance
     priority: 30 

   1

   
     readOnlyRootFilesystem: false
     requiredDropCapabilities:
     - KILL
     - SETUID
     - SETGID
     - MKNOD
     runAsUser:
       type: MustRunAsRange
     seLinuxContext:
       type: MustRunAs
     supplementalGroups:
       type: RunAsAny
     users:
     - system:serviceaccount:openshift-compliance:api-resource-collector 

   2

   
     volumes:
     - configMap
     - downwardAPI
     - emptyDir
     - persistentVolumeClaim
     - projected
     - secret

   1

   この SCC の優先度は、system:authenticated グループに適用される他のどの SCC よりも高くなければなりません。

   2

   Compliance Operator スキャナー Pod によって使用されるサービスアカウント。

2. SCC を作成します。

   $ oc create -n openshift-compliance  -f restricted-adjusted-compliance.yaml

   出力例

   securitycontextconstraints.security.openshift.io/restricted-adjusted-compliance created

検証

1. SCC が作成されたことを確認します。

   $ oc get -n openshift-compliance scc restricted-adjusted-compliance

   出力例

   NAME                             PRIV    CAPS         SELINUX     RUNASUSER        FSGROUP     SUPGROUP   PRIORITY   READONLYROOTFS   VOLUMES
   restricted-adjusted-compliance   false   <no value>   MustRunAs   MustRunAsRange   MustRunAs   RunAsAny   30         false            ["configMap","downwardAPI","emptyDir","persistentVolumeClaim","projected","secret"]