Red Hat Summitセキュリティー API
セキュリティー API のリファレンスガイド
概要
第1章 セキュリティー API
1.1. CertificateSigningRequest [certificates.k8s.io/v1]
- 説明
CertificateSigningRequest オブジェクトは、証明書署名要求を送信し、非同期で承認および発行することにより、x509 証明書を取得するメカニズムを提供します。
Kubelets はこの API を使用して以下を取得します。1。kube-apiserver に対して認証するクライアント証明書 ("kubernetes.io/kube-apiserver-client-kubelet" signerName を使用)。2. TLS エンドポイントのサービング証明書 kube-apiserver は安全に接続できます ("kubernetes.io/kubelet-serving" signerName を使用)。
この API を使用して、クライアント証明書に kube-apiserver への認証 ("kubernetes.io/kube-apiserver-client" signerName を使用) を要求したり、カスタムの非 Kubernetes 署名者から証明書を取得したりできます。
- 型
-
object
1.2. CredentialsRequest [cloudcredential.openshift.io/v1]
- 説明
- CredentialsRequest は、credentialsrequests API のスキーマです。
- 型
-
object
1.3. PodSecurityPolicyReview [security.openshift.io/v1]
- 説明
PodSecurityPolicyReview は、問題の
PodTemplateSpecを作成できるサービスアカウント (ユーザーではなく、クラスター全体であるため) をチェックします。互換性レベル 2: メジャーリリース内で最低 9 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object
1.4. PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- 説明
PodSecurityPolicySelfSubjectReview は、このユーザー/SA タプルが PodTemplateSpec を作成できるかどうかを確認します
互換性レベル 2: メジャーリリース内で最低 9 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object
1.5. PodSecurityPolicySubjectReview [security.openshift.io/v1]
- 説明
PodSecurityPolicySubjectReview は、特定のユーザー/SA タプルが PodTemplateSpec を作成できるかどうかをチェックします。
互換性レベル 2: メジャーリリース内で最低 9 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object
1.6. RangeAllocation [security.openshift.io/v1]
- 説明
RangeAllocation が使用されるため、セキュリティーグループ用に入力された RangeAllocation を簡単に公開できます。
互換性レベル 4: 互換性は提供されていません。API は、理由を問わずいつでも変更できます。これらの機能は、長期サポートを必要とするアプリケーションで使用することはできません。
- 型
-
object
1.7. Secret [v1]
- 説明
- Secret は特定のタイプのシークレットデータを保持します。Data フィールドの値の合計バイト数は MaxSecretSize バイト未満である必要があります。
- 型
-
object
1.8. SecurityContextConstraints [security.openshift.io/v1]
- 説明
SecurityContextConstraints は、コンテナーに適用される SecurityContext に影響を与える要求を行う機能を管理します。歴史的な理由から、SCC はコア Kubernetes API グループの下で公開されていました。このエクスポージャーは非推奨であり、将来のリリースで削除される予定です。代わりに、ユーザーは security.openshift.io グループを使用して SecurityContextConstraints を管理する必要があります。
互換性レベル 1: メジャーリリース内で最低 12 カ月または 3 つのマイナーリリース (どちらか長い方) の間 Stable です。
- 型
-
object
1.9. ServiceAccount [v1]
- 説明
- ServiceAccount は互いにバインドします:*ユーザーおよびおそらく周辺システムによって理解される ID の名前*認証および承認できるプリンシパル*一連のシークレット
- 型
-
object
第2章 CertificateSigningRequest [certificates.k8s.io/v1]
- 説明
CertificateSigningRequest オブジェクトは、証明書署名要求を送信し、非同期で承認および発行することにより、x509 証明書を取得するメカニズムを提供します。
Kubelets はこの API を使用して以下を取得します。1。kube-apiserver に対して認証するクライアント証明書 ("kubernetes.io/kube-apiserver-client-kubelet" signerName を使用)。2. TLS エンドポイントのサービング証明書 kube-apiserver は安全に接続できます ("kubernetes.io/kubelet-serving" signerName を使用)。
この API を使用して、クライアント証明書に kube-apiserver への認証 ("kubernetes.io/kube-apiserver-client" signerName を使用) を要求したり、カスタムの非 Kubernetes 署名者から証明書を取得したりできます。
- 型
-
object - 必須
-
spec
-
2.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| ||
|
|
| CertificateSigningRequestSpec には、証明書要求が含まれています。 |
|
|
| CertificateSigningRequestStatus には、リクエストの承認/拒否/失敗ステータス、および発行された証明書を示すために使用される条件が含まれています。 |
2.1.1. .spec
- 説明
- CertificateSigningRequestSpec には、証明書要求が含まれています。
- 型
-
object - 必須
-
request -
signerName
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| expirationSeconds は、発行された証明書の要求された有効期間です。証明書の署名者は、有効期間が異なる証明書を発行する場合があるため、クライアントは、発行された証明書の notBefore フィールドと notAfter フィールドの間のデルタをチェックして、実際の期間を決定する必要があります。 有名な Kubernetes 署名者の v1.22+ ツリー内実装は、要求された期間が、Kubernetes への --cluster-signing-duration CLI フラグに従って尊重する最大期間を超えない限り、このフィールドを尊重します。コントローラーマネージャー。 証明書の署名者は、さまざまな理由でこのフィールドを尊重しない場合があります。 1.フィールドを認識しない古い署名者 (v1.22 より前のツリー内実装など)2。設定された最大値が要求された期間より短い署名者 3。設定された最小値が要求された期間よりも長い署名者 expirationSeconds の有効な最小値は 600、つまり 10 分です。 |
|
|
| extra には、CertificateSigningRequest を作成したユーザーの追加属性が含まれます。作成時に API サーバーによって入力され、不変です。 |
|
|
| |
|
|
| groups には、CertificateSigningRequest を作成したユーザーのグループメンバーシップが含まれます。作成時に API サーバーによって入力され、不変です。 |
|
|
| 要求には、"CERTIFICATE REQUEST" PEM ブロックにエンコードされた x509 証明書署名要求が含まれています。JSON または YAML としてシリアル化される場合、データはさらに base64 でエンコードされます。 |
|
|
| signerName は、要求された署名者を示し、修飾された名前です。 CertificateSigningRequests のリスト/ウォッチリクエストは、"spec.signerName=NAME" fieldSelector を使用してこのフィールドでフィルタリングできます。 よく知られている Kubernetes 署名者は次のとおりです。1. "kubernetes.io/kube-apiserver-client": kube-apiserver への認証に使用できるクライアント証明書を発行します。この署名者のリクエストは、kube-controller-manager によって自動承認されることはなく、kube-controller-manager の "csrsigning" コントローラーによって発行できます。2. "kubernetes.io/kube-apiserver-client-kubelet": kubelets が kube-apiserver への認証に使用するクライアント証明書を発行します。この署名者のリクエストは、kube-controller-manager の "csrapproving" コントローラーによって自動承認され、kube-controller-manager の "csrsigning" コントローラーによって発行されます。3. "kubernetes.io/kubelet-serving" は、kubelet が TLS エンドポイントを提供するのに使用する証明書の提供を発行します。これは、kube-apiserver が安全に接続できます。この署名者のリクエストは、kube-controller-manager によって自動承認されることはなく、kube-controller-manager の "csrsigning" コントローラーによって発行できます。 詳細は、https://k8s.io/docs/reference/access-authn-authz/certificate-signing-requests/#kubernetes-signers を参照してください。 カスタム signerNames も指定できます。署名者は次のように定義します。1. 信頼の配布: 信頼 (CA バンドル) の配布方法。2. 許可された対象: および許可されていない対象が要求された場合の動作。3. 要求内の必須、許可、または禁止されている x509 拡張 (subjectAltNames が許可されているかどうか、どのタイプ、許可されている値の制限を含む)、および許可されていない拡張が要求された場合の動作。4. 必須、許可、または禁止されているキーの使用法/拡張キーの使用法。5. 有効期限/証明書の有効期間: 署名者によって修正されたかどうか、管理者によって設定可能かどうか。6. CA 証明書の要求が許可されるかどうか。 |
|
|
| uid には、CertificateSigningRequest を作成したユーザーの uid が含まれます。作成時に API サーバーによって入力され、不変です。 |
|
|
| 使用法は、発行された証明書で要求された一連の主要な使用法を指定します。 TLS クライアント証明書の要求は通常、"デジタル署名"、"キー暗号化"、"クライアント認証" を要求します。 TLS サービング証明書の要求は通常、"キー暗号化"、"デジタル署名"、"サーバー認証" を要求します。 有効な値は、"signing"、"digital signature"、"content commitment"、"key encipherment"、"key agreement"、"data encipherment"、"cert sign"、"crl sign"、"encipher only"、"decipher only"、"any"、"server auth"、"client auth"、"code signing"、"email protection"、"s/mime"、"ipsec end system"、"ipsec tunnel"、"ipsec user"、"timestamping"、"ocsp signing"、"microsoft sgc"、"netscape sgc" です。 |
|
|
| username には、CertificateSigningRequest を作成したユーザーの名前が含まれます。作成時に API サーバーによって入力され、不変です。 |
2.1.2. .spec.extra
- 説明
- extra には、CertificateSigningRequest を作成したユーザーの追加属性が含まれます。作成時に API サーバーによって入力され、不変です。
- 型
-
object
2.1.3. .status
- 説明
- CertificateSigningRequestStatus には、リクエストの承認/拒否/失敗ステータス、および発行された証明書を示すために使用される条件が含まれています。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| 証明書には、承認済み条件が存在した後、署名者によって発行された証明書が入力されます。このフィールドは、/status サブリソースを介して設定されます。一度入力されると、このフィールドは不変です。 証明書署名要求が拒否された場合、タイプ "Denied" の条件が追加され、このフィールドは空のままになります。署名者が証明書を発行できない場合は、タイプ "Failed" の条件が追加され、このフィールドは空のままになります。 検証要件:1. 証明書には 1 つ以上の PEM ブロックが含まれている必要があります。2. すべての PEM ブロックには、"CERTIFICATE" ラベルが付いていて、ヘッダーが含まれていない必要があります。また、エンコードされたデータは、RFC5280 のセクション 4 で説明されている BER エンコードされた ASN.1 証明書構造である必要があります。3. 非 PEM コンテンツは、"CERTIFICATE" PEM ブロックの前または後に表示される場合があり、RFC7468 のセクション 5.2 で説明されている説明テキストを許可するために、検証されていません。 複数の PEM ブロックが存在し、要求された spec.signerName の定義がそれ以外を示さない場合、最初のブロックは発行された証明書であり、後続のブロックは中間証明書として扱われ、TLS ハンドシェイクで提示される必要があります。 証明書は PEM 形式でエンコードされています。 JSON または YAML としてシリアル化される場合、データはさらに base64 でエンコードされるため、次のもので構成されます。 base64( -----BEGIN CERTIFICATE----- … -----END CERTIFICATE----- ) |
|
|
| リクエストに適用される条件。既知の条件は、"Approved"、"Denied"、および "Failed" です。 |
|
|
| CertificateSigningRequestCondition は、CertificateSigningRequest オブジェクトの条件を記述します |
2.1.4. .status.conditions
- 説明
- リクエストに適用される条件。既知の条件は、"Approved"、"Denied"、および "Failed" です。
- 型
-
array
2.1.5. .status.conditions[]
- 説明
- CertificateSigningRequestCondition は、CertificateSigningRequest オブジェクトの条件を記述します
- 型
-
object - 必須
-
type -
status
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
| lastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。設定されていない場合、新しい条件タイプが追加されるか、既存の条件のステータスが変更されると、サーバーはこれを現在の時刻にデフォルト設定します。 | |
|
| lastUpdateTime は、この条件が最後に更新された時刻です。 | |
|
|
| メッセージには、リクエストの状態に関する詳細を含む人間が読めるメッセージが含まれています |
|
|
| reason は、リクエスト状態の簡単な理由を示します |
|
|
| 条件のステータス、True、False、Unknown のいずれか。承認、拒否、および失敗の条件は、"False" または "Unknown" ではない場合があります。 |
|
|
| 条件の型。既知の条件は、"Approved"、"Denied"、および "Failed" です。 "Approved" 条件は /approval サブリソースを介して追加され、要求が承認され、署名者が発行する必要があることを示します。 "Denied" は /approval サブリソースを介して追加され、要求が拒否されたため、署名者が発行してはならないことを示します。 "Failed" 条件が /status サブリソースを介して追加され、署名者が証明書の発行に失敗したことを示します。 承認された条件と拒否された条件は相互に排他的です。承認済み、拒否済み、および失敗した条件は、一度追加すると削除できません。 特定のタイプの条件は 1 つだけ許可されます。 |
2.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/certificates.k8s.io/v1/certificatesigningrequests-
DELETE: CertificateSigningRequest のコレクションを削除します -
GET: 種類の CertificateSigningRequest のオブジェクトをリスト表示または監視します -
POST:CertificateSigningRequest を作成します
-
/apis/certificates.k8s.io/v1/watch/certificatesigningrequests-
GET:CertificateSigningRequest のリストに対する個々の変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用してください。
-
/apis/certificates.k8s.io/v1/certificatesigningrequests/{name}-
DELETE: CertificateSigningRequest を削除します -
GET: 指定された CertificateSigningRequest を読み取ります -
PATCH: 指定された CertificateSigningRequest を部分的に更新します -
PUT: 指定された CertificateSigningRequest を置き換えます
-
/apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}-
GET: 種類 CertificateSigningRequest のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
-
/apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status-
GET: 指定された CertificateSigningRequest のステータスを読み取ります -
PATCH: 指定された CertificateSigningRequest のステータスを部分的に更新します -
PUT: 指定された CertificateSigningRequest のステータスを置き換えます
-
/apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval-
GET: 指定された CertificateSigningRequest の承認を読み取ります -
PATCH: 指定された CertificateSigningRequest の承認を部分的に更新します -
PUT: 指定された CertificateSigningRequest の承認を置き換えます
-
2.2.1. /apis/certificates.k8s.io/v1/certificatesigningrequests
- HTTP メソッド
-
DELETE - 説明
- CertificateSigningRequest のコレクションを削除します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 種類のオブジェクトをリスト表示または監視する CertificateSigningRequest
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- CertificateSigningRequest を作成します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
2.2.2. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests
- HTTP メソッド
-
GET - 説明
- CertificateSigningRequest のリストに対する個々の変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用してください。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
2.2.3. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| CertificateSigningRequest の名前 |
- HTTP メソッド
-
DELETE - 説明
- CertificateSigningRequest を削除します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された CertificateSigningRequest を読み取ります
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された CertificateSigningRequest を部分的に更新します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された CertificateSigningRequest を置き換えます
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
2.2.4. /apis/certificates.k8s.io/v1/watch/certificatesigningrequests/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| CertificateSigningRequest の名前 |
- HTTP メソッド
-
GET - 説明
- 種類 CertificateSigningRequest のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
2.2.5. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/status
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| CertificateSigningRequest の名前 |
- HTTP メソッド
-
GET - 説明
- 指定された CertificateSigningRequest のステータスを読み取ります
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された CertificateSigningRequest のステータスを部分的に更新します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された CertificateSigningRequest のステータスを置き換えます
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
2.2.6. /apis/certificates.k8s.io/v1/certificatesigningrequests/{name}/approval
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| CertificateSigningRequest の名前 |
- HTTP メソッド
-
GET - 説明
- 指定された CertificateSigningRequest の承認を読み取ります
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された CertificateSigningRequest の承認を部分的に更新します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された CertificateSigningRequest の承認を置き換えます
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
第3章 CredentialsRequest [cloudcredential.openshift.io/v1]
- 説明
- CredentialsRequest は、credentialsrequests API のスキーマです。
- 型
-
object - 必須
-
spec
-
3.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 標準オブジェクトのメタデータ。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
|
| CredentialsRequestSpec は、CredentialsRequest の望ましい状態を定義します |
|
|
| CredentialsRequestStatus は、CredentialsRequest の監視状態を定義します |
3.1.1. .spec
- 説明
- CredentialsRequestSpec は、CredentialsRequest の望ましい状態を定義します
- 型
-
object - 必須
-
secretRef
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| cloudTokenPath は、認証情報シークレットを要求するワークロードのデプロイメントに Kubernetes ServiceAccount トークン (JSON Web トークン) がマウントされるパスです。このフィールドが spec.providerSpec.stsIAMRoleARN などのフィールドと一緒に存在する場合、AWS Secure Token Service (STS) などのトークンベースの認証方法に必要なフィールドを含む認証情報シークレットの作成を CCO が仲介する必要があります。 cloudTokenPath は、ccoctl によって生成される Azure 設定シークレットで使用される azure_federated_token_file パスを指定するためにも使用できます。デフォルトは "/var/run/secrets/openshift/serviceaccount/token" です。 |
|
| `` | ProviderSpec には、クラウドプロバイダー固有のクレデンシャル仕様が含まれています。 |
|
|
| SecretRef は、生成されたクレデンシャルを保存する必要があるシークレットを指します。 |
|
|
| ServiceAccountNames には、この CredentialsRequest に関連付けられた権限を使用する ServiceAccounts のリストが含まれています。これは CCO によって使用されませんが、ServiceAccounts がクラウドクレデンシャルフローの一部として使用される場合に、クラウドプロバイダーでアクセス制御を適切に設定できるようにするための情報が必要です。 |
3.1.2. .spec.secretRef
- 説明
- SecretRef は、生成されたクレデンシャルを保存する必要があるシークレットを指します。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| 参照先の API バージョン。 |
|
|
| オブジェクト全体ではなく一部を参照する場合に、この文字列には、desiredState.manifest.containers[2] など、有効な JSON/Go フィールドアクセスステートメントを含める必要があります。たとえば、オブジェクトの参照先が Pod 内のコンテナーの場合には、"spec.containers{name}" などの値に設定されます ("name" はイベントをトリガーしたコンテナー名に置き換えます)。またはコンテナー名が指定されていない場合には、"spec.containers[2]" の値に設定されます (この Pod 内でインデックスが 2 のコンテナー)。この構文が選択された唯一の理由は、オブジェクトの一部の参照を明確に定義するためです。 |
|
|
| 参照先の種類。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
|
| 参照先の名前。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names |
|
|
| 参照先の namespace。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/namespaces/ |
|
|
| この参照が作成される特定の resourceVersion (ある場合)。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#concurrency-control-and-consistency |
|
|
| 参照先の UID。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#uids |
3.1.3. .status
- 説明
- CredentialsRequestStatus は、CredentialsRequest の監視状態を定義します
- 型
-
object - 必須
-
lastSyncGeneration -
provisioned
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| 条件には、CredentialsRequest の詳細なステータスが含まれます |
|
|
| CredentialsRequestCondition には、CredentialsRequest オブジェクトの条件の詳細が含まれています |
|
|
| LastSyncCloudCredsSecretResourceVersion は、クレデンシャル要求リソースが最後に同期されたときのクラウドクレデンシャルシークレットリソースのリソースバージョンです。前回の同期以降にクラウドクレデンシャルが更新されたかどうかを判断するために使用されます。 |
|
|
| LastSyncGeneration は、最後に同期された認証情報要求リソースの生成です。オブジェクトが変更され、同期が必要かどうかを判断するために使用されます。 |
|
|
| LastSyncInfrastructureResourceVersion は、インフラストラクチャーリソースのリソースバージョンです。これは、ユーザーが指定したタグが前回の同期以降に更新されたかどうかを判断するために使用されます。 |
|
|
| LastSyncTimestamp は、認証情報が最後に同期された時刻です。 |
|
| `` | ProviderStatus には、クラウドプロバイダー固有のステータスが含まれます。 |
|
|
| クレデンシャルが最初にプロビジョニングされると、プロビジョニングは真になります。 |
3.1.4. .status.conditions
- 説明
- 条件には、CredentialsRequest の詳細なステータスが含まれます
- 型
-
array
3.1.5. .status.conditions[]
- 説明
- CredentialsRequestCondition には、CredentialsRequest オブジェクトの条件の詳細が含まれています
- 型
-
object - 必須
-
status -
type
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| LastProbeTime は、状態をプローブした最後の時間です |
|
|
| LastTransitionTime は、ある状態から別の状態に最後に遷移した時間です。 |
|
|
| message は、遷移の詳細を示す人が判読できるメッセージです。 |
|
|
| Reason は、条件の最後の遷移の一意の 1 単語の CamelCase 理由です。 |
|
|
| ステータスは状態のステータスです |
|
|
| タイプは、条件の特定のタイプです |
3.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/cloudcredential.openshift.io/v1/credentialsrequests-
GET: 種類のオブジェクトをリスト表示する CredentialsRequest
-
/apis/cloudcredential.openshift.io/v1/namespaces/{namespace}/credentialsrequests-
DELETE:CredentialsRequest のコレクションを削除します -
GET: 種類のオブジェクトをリスト表示する CredentialsRequest -
POST:CredentialsRequest を作成します
-
/apis/cloudcredential.openshift.io/v1/namespaces/{namespace}/credentialsrequests/{name}-
削除:CredentialsRequest を削除します -
GET: 指定された CredentialsRequest を読み取ります -
PATCH: 指定された CredentialsRequest を部分的に更新します -
PUT: 指定された CredentialsRequest を置き換えます
-
/apis/cloudcredential.openshift.io/v1/namespaces/{namespace}/credentialsrequests/{name}/status-
GET: 指定された CredentialsRequest のステータスを読み取ります -
PATCH: 指定された CredentialsRequest のステータスを部分的に更新します -
PUT: 指定された CredentialsRequest のステータスを置き換えます
-
3.2.1. /apis/cloudcredential.openshift.io/v1/credentialsrequests
- HTTP メソッド
-
GET - 説明
- 種類のオブジェクトをリスト表示する CredentialsRequest
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
3.2.2. /apis/cloudcredential.openshift.io/v1/namespaces/{namespace}/credentialsrequests
- HTTP メソッド
-
DELETE - 説明
- CredentialsRequest のコレクションを削除します
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 種類のオブジェクトをリスト表示する CredentialsRequest
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- CredentialsRequest を作成します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
3.2.3. /apis/cloudcredential.openshift.io/v1/namespaces/{namespace}/credentialsrequests/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| CredentialsRequest の名前 |
- HTTP メソッド
-
DELETE - 説明
- CredentialsRequest を削除する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された CredentialsRequest を読み込む。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された CredentialsRequest を部分的に更新します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された CredentialsRequest を置き換えます。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
3.2.4. /apis/cloudcredential.openshift.io/v1/namespaces/{namespace}/credentialsrequests/{name}/status
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| CredentialsRequest の名前 |
- HTTP メソッド
-
GET - 説明
- 指定された CredentialsRequest のステータスを読み取る。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された CredentialsRequest の部分的な更新状況
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された CredentialsRequest のステータスを置き換える。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
第4章 PodSecurityPolicyReview [security.openshift.io/v1]
- 説明
PodSecurityPolicyReview は、問題の
PodTemplateSpecを作成できるサービスアカウント (ユーザーではなく、クラスター全体であるため) をチェックします。互換性レベル 2: メジャーリリース内で最低 9 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object - 必須
-
spec
-
4.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
|
| PodSecurityPolicyReviewSpec は、PodSecurityPolicyReview の仕様を定義します。 |
|
|
| PodSecurityPolicyReviewStatus は、PodSecurityPolicyReview のステータスを表します。 |
4.1.1. .spec
- 説明
- PodSecurityPolicyReviewSpec は、PodSecurityPolicyReview の仕様を定義します。
- 型
-
object - 必須
-
template
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| serviceAccountNames は、チェックを実行する ServiceAccounts のオプションのセットです。serviceAccountName が空の場合、template.spec.serviceAccountName が使用されます。ただし、空の場合は代わりに "default" が使用されます。serviceAccountName を指定した場合、template.spec.serviceAccountName は無視されます。 |
|
| テンプレートは、チェックする PodTemplateSpec です。template.spec.serviceAccountName フィールドは、serviceAccountName が空の場合に使用されます。ただし、template.spec.serviceAccountName が空の場合は、"default" が使用されます。serviceAccountName を指定した場合、template.spec.serviceAccountName は無視されます。 |
4.1.2. .status
- 説明
- PodSecurityPolicyReviewStatus は、PodSecurityPolicyReview のステータスを表します。
- 型
-
object - 必須
-
allowedServiceAccounts
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| allowedServiceAccounts は、PodTemplateSpec を作成する権限を持つ この namespace 内のサービスアカウントのリストを返します。 |
|
|
| ServiceAccountPodSecurityPolicyReviewStatus は、ServiceAccount 名と関連するレビューステータスを表します |
4.1.3. .status.allowedServiceAccounts
- 説明
- allowedServiceAccounts は、PodTemplateSpec を作成する権限を持つ この namespace 内のサービスアカウントのリストを返します。
- 型
-
array
4.1.4. .status.allowedServiceAccounts[]
- 説明
- ServiceAccountPodSecurityPolicyReviewStatus は、ServiceAccount 名と関連するレビューステータスを表します
- 型
-
object - 必須
-
name
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
allowedBy は、PodTemplateSpec を許可するルールへの参照です。ルールは、SecurityContextConstraint または PodSecurityPolicy A | |
|
|
| name には、許可された ServiceAccount 名と拒否された ServiceAccount 名が含まれる |
|
|
| この操作のステータスが "Failure" である理由の、機械による判読が可能な説明。この値が空の場合、利用可能な情報はありません。 |
|
| template はデフォルト化された後の PodTemplateSpec です。 |
4.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/namespaces/{namespace}/podsecuritypolicyreviews-
POST: PodSecurityPolicyReview を作成する
-
4.2.1. /apis/security.openshift.io/v1/namespaces/{namespace}/podsecuritypolicyreviews
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
- HTTP メソッド
-
POST - 説明
- PodSecurityPolicyReview を作成する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
第5章 PodSecurityPolicySelfSubjectReview [security.openshift.io/v1]
- 説明
PodSecurityPolicySelfSubjectReview は、このユーザー/SA タプルが PodTemplateSpec を作成できるかどうかを確認します
互換性レベル 2: メジャーリリース内で最低 9 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object - 必須
-
spec
-
5.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
|
| PodSecurityPolicySelfSubjectReviewSpec には、PodSecurityPolicySelfSubjectReview の仕様が含まれています。 |
|
|
| PodSecurityPolicySubjectReviewStatus は PodSecurityPolicySubjectReview に関する情報/ステータスを含んでいます。 |
5.1.1. .spec
- 説明
- PodSecurityPolicySelfSubjectReviewSpec には、PodSecurityPolicySelfSubjectReview の仕様が含まれています。
- 型
-
object - 必須
-
template
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
| テンプレートは、チェックする PodTemplateSpec です。 |
5.1.2. .status
- 説明
- PodSecurityPolicySubjectReviewStatus は PodSecurityPolicySubjectReview に関する情報/ステータスを含んでいます。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
allowedBy は、PodTemplateSpec を許可するルールへの参照です。ルールは、SecurityContextConstraint または PodSecurityPolicy A | |
|
|
| この操作のステータスが "Failure" である理由の、機械による判読が可能な説明。この値が空の場合、利用可能な情報はありません。 |
|
| template はデフォルト化された後の PodTemplateSpec です。 |
5.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/namespaces/{namespace}/podsecuritypolicyselfsubjectreviews-
POST: PodSecurityPolicySelfSubjectReview を作成します。
-
5.2.1. /apis/security.openshift.io/v1/namespaces/{namespace}/podsecuritypolicyselfsubjectreviews
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
- HTTP メソッド
-
POST - 説明
- PodSecurityPolicySelfSubjectReview の作成
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
第6章 PodSecurityPolicySubjectReview [security.openshift.io/v1]
- 説明
PodSecurityPolicySubjectReview は、特定のユーザー/SA タプルが PodTemplateSpec を作成できるかどうかをチェックします。
互換性レベル 2: メジャーリリース内で最低 9 か月または 3 つのマイナーリリース (どちらか長い方) の間安定しています。
- 型
-
object - 必須
-
spec
-
6.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds を参照してください。 |
|
|
| PodSecurityPolicySubjectReviewSpec は、PodSecurityPolicySubjectReview の仕様を定義します。 |
|
|
| PodSecurityPolicySubjectReviewStatus は PodSecurityPolicySubjectReview に関する情報/ステータスを含んでいます。 |
6.1.1. .spec
- 説明
- PodSecurityPolicySubjectReviewSpec は、PodSecurityPolicySubjectReview の仕様を定義します。
- 型
-
object - 必須
-
template
-
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| グループは、テストしているグループです。 |
|
| テンプレートは、チェックする PodTemplateSpec です。template.spec.serviceAccountName が空の場合、デフォルトになりません。空でない場合は、チェックされます。 | |
|
|
| user は、テストしているユーザーです。"user" を指定して "group" を指定しないと、"user がどのグループのメンバーでもない場合はどうなるか" と解釈されます。user と group が空の場合、テンプレート内の serviceAccountName のみで チェックを行います。 |
6.1.2. .status
- 説明
- PodSecurityPolicySubjectReviewStatus は PodSecurityPolicySubjectReview に関する情報/ステータスを含んでいます。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
allowedBy は、PodTemplateSpec を許可するルールへの参照です。ルールは、SecurityContextConstraint または PodSecurityPolicy A | |
|
|
| この操作のステータスが "Failure" である理由の、機械による判読が可能な説明。この値が空の場合、利用可能な情報はありません。 |
|
| template はデフォルト化された後の PodTemplateSpec です。 |
6.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/namespaces/{namespace}/podsecuritypolicysubjectreviews-
POST: PodSecurityPolicySubjectReview の作成
-
6.2.1. /apis/security.openshift.io/v1/namespaces/{namespace}/podsecuritypolicysubjectreviews
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
- HTTP メソッド
-
POST - 説明
- PodSecurityPolicySubjectReview の作成
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
第7章 RangeAllocation [security.openshift.io/v1]
- 説明
RangeAllocation が使用されるため、セキュリティーグループ用に入力された RangeAllocation を簡単に公開できます。
互換性レベル 4: 互換性は提供されていません。API は、理由を問わずいつでも変更できます。これらの機能は、長期サポートを必要とするアプリケーションで使用することはできません。
- 型
-
object - 必須
-
range -
data
-
7.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| data は、範囲指定のシリアライズされた状態を表すバイト配列です。各ビットを 1 にして範囲を表すビットマップが取得されます。 |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| metadata は標準オブジェクトのメタデータです。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
|
| range は、uid の範囲を表す一意のラベルを表す文字列で、"1000000000-2000000000/10000" です。 |
7.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/rangeallocations-
DELETE: RangeAllocation のコレクションを削除します -
GET: RangeAllocation の種類のオブジェクトをリストまたは監視します。 -
POST: RangeAllocation を作成する
-
/apis/security.openshift.io/v1/watch/rangeallocations-
GET: RangeAllocation のリストに対する個々の変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用してください。
-
/apis/security.openshift.io/v1/rangeallocations/{name}-
DELETE: RangeAllocation を削除します -
GET: 指定された RangeAllocation を読み込みます。 -
PATCH: 指定された RangeAllocation を部分的に更新します。 -
PUT: 指定された RangeAllocation を置き換える
-
/apis/security.openshift.io/v1/watch/rangeallocations/{name}-
GET: RangeAllocation の種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
-
7.2.1. /apis/security.openshift.io/v1/rangeallocations
- HTTP メソッド
-
DELETE - 説明
- RangeAllocation のコレクションを削除します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- RangeAllocation の種類のオブジェクトをリストまたは監視します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- create a RangeAllocation
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
7.2.2. /apis/security.openshift.io/v1/watch/rangeallocations
- HTTP メソッド
-
GET - 説明
- RangeAllocation のリストに対する個々の変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用してください。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
7.2.3. /apis/security.openshift.io/v1/rangeallocations/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| RangeAllocation の名前 |
- HTTP メソッド
-
DELETE - 説明
- RangeAllocation の作成
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された RangeAllocation を読み込む
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された RangeAllocation を部分的に更新する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された RangeAllocation を置き換える
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
7.2.4. /apis/security.openshift.io/v1/watch/rangeallocations/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| RangeAllocation の名前 |
- HTTP メソッド
-
GET - 説明
- RangeAllocation の種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
第8章 Secret [v1]
- 説明
- Secret は特定のタイプのシークレットデータを保持します。Data フィールドの値の合計バイト数は MaxSecretSize バイト未満である必要があります。
- 型
-
object
8.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| data にはシークレットデータが含まれます。各キーは英数字、'-'、'_'、または '.' で構成される必要があります。シークレットデータのシリアライズ形式は base64 でエンコードされた文字列で、ここでは任意 (文字列以外の場合あり) のデータ値を表します。詳細は https://tools.ietf.org/html/rfc4648#section-4 を参照してください。 |
|
|
| true に設定されていない場合、シークレットに保存されているデータを更新できなくなります (オブジェクトメタデータのみを変更できます)。true に設定されていない場合、いつでもフィールドを変更できます。デフォルトは nil です。 |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 標準オブジェクトのメタデータ。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
|
| stringData では、バイナリー以外のシークレットデータを文字列形式で指定できます。便宜上、書き込み専用の入力フィールドとして提供されています。すべてのキーと値は書き込み時にデータフィールドにマージされ、既存の値を上書きします。API から読み取るときに、stringData フィールドが出力されることはありません。 |
|
|
| シークレットデータのプログラムによる処理を容易にするために使用されます。詳細は、https://kubernetes.io/docs/concepts/configuration/secret/#secret-types を参照してください。 |
8.2. API エンドポイント
以下の API エンドポイントを利用できます。
/api/v1/secrets-
GET: Secret の種類のオブジェクトをリストまたは監視する。
-
/api/v1/watch/secrets-
GET: Secret のリストへ個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用します。
-
/api/v1/namespaces/{namespace}/secrets-
DELETE: Secret のコレクションを削除する -
GET: Secret の種類のオブジェクトをリストまたは監視する。 -
POST: シークレットを作成する
-
/api/v1/watch/namespaces/{namespace}/secrets-
GET: Secret のリストへ個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用します。
-
/api/v1/namespaces/{namespace}/secrets/{name}-
DELETE: Secret を削除する -
GET: 指定された Secret を読み込みます。 -
PATCH: 指定された Secret を部分的に更新します。 -
PUT: 指定された Secret を置き換えます。
-
/api/v1/watch/namespaces/{namespace}/secrets/{name}-
GET: Secret 種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
-
8.2.1. /api/v1/secrets
- HTTP メソッド
-
GET - 説明
- Secret の種類のオブジェクトをリストまたは監視する
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
8.2.2. /api/v1/watch/secrets
- HTTP メソッド
-
GET - 説明
- Secret のリストへ個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
8.2.3. /api/v1/namespaces/{namespace}/secrets
- HTTP メソッド
-
DELETE - 説明
- Secret のコレクションを削除します
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- Secret の種類のオブジェクトをリストまたは監視する
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- シークレットの作成
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
8.2.4. /api/v1/watch/namespaces/{namespace}/secrets
- HTTP メソッド
-
GET - 説明
- Secret のリストへ個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
8.2.5. /api/v1/namespaces/{namespace}/secrets/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| シークレットの名前 |
- HTTP メソッド
-
DELETE - 説明
- シークレットの削除
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された Secret を読み込む
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された Secret を部分的に更新する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された Secret を置き換える
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
8.2.6. /api/v1/watch/namespaces/{namespace}/secrets/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| シークレットの名前 |
- HTTP メソッド
-
GET - 説明
- Secret 種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
第9章 SecurityContextConstraints [security.openshift.io/v1]
- 説明
SecurityContextConstraints は、コンテナーに適用される SecurityContext に影響を与える要求を行う機能を管理します。歴史的な理由から、SCC はコア Kubernetes API グループの下で公開されていました。このエクスポージャーは非推奨であり、将来のリリースで削除される予定です。代わりに、ユーザーは security.openshift.io グループを使用して SecurityContextConstraints を管理する必要があります。
互換性レベル 1: メジャーリリース内で最低 12 カ月または 3 つのマイナーリリース (どちらか長い方) の間 Stable です。
- 型
-
object - 必須
-
allowHostDirVolumePlugin -
allowHostIPC -
allowHostNetwork -
allowHostPID -
allowHostPorts -
allowPrivilegedContainer -
readOnlyRootFilesystem
-
9.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| allowHostDirVolumePlugin は、ポリシーがコンテナーに HostDir ボリュームプラグインの使用を許可するかどうかを決定します |
|
|
| allowHostIPC は、ポリシーがコンテナー内のホスト ipc を許可するかどうかを決定します。 |
|
|
| allowHostNetwork は、ポリシーが Pod 仕様で HostNetwork の使用を許可するかどうかを決定します。 |
|
|
| allowHostPID は、ポリシーがコンテナー内のホスト pid を許可するかどうかを決定します。 |
|
|
| allowHostPorts は、ポリシーがコンテナー内のホストポートを許可するかどうかを決定します。 |
|
| `` | allowPrivilegeEscalation は、Pod が特権の昇格を許可するように要求できるかどうかを決定します。指定しない場合は、デフォルトで true になります。 |
|
|
| allowPrivilegedContainer は、コンテナーが特権としての実行を要求できるかどうかを判別します。 |
|
| `` | allowedCapabilities は、コンテナーに追加するように要求できる機能のリストです。このフィールドの機能は、Pod 作成者の判断で追加される場合があります。AllowedCapabilities と RequiredDropCapabilities の両方に機能を追加することはできません。すべての機能を許可するには、'*' を使用できます。 |
|
| `` | allowedFlexVolumes は、許可された Flexvolume のホワイトリストです。空または nil は、すべての Flexvolume を使用できることを示します。このパラメーターは、"Volumes" フィールドで Flexvolumes の使用が許可されている場合にのみ有効です。 |
|
| `` | allowedUnsafeSysctls は、明示的に許可された安全でない sysctl のリストであり、デフォルトは none です。各エントリーは、通常の sysctl 名であるか、"*" で終わります。後者の場合、エントリーは許可される sysctl の接頭辞とみなされます。1 つの \* は、すべての安全でない sysctl が許可されることを意味します。Kubelet は、拒否を回避するために、許可されているすべての安全でない sysctl を明示的にホワイトリストに登録する必要があります。 たとえば、"foo/*" は、"foo/bar"、"foo/baz" などを許可し、"foo.\*" は、"foo.bar"、"foo.baz" などを許可します。 |
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
| `` | defaultAddCapabilities は、Pod 仕様で機能が明確に削除されない限り、コンテナーに追加されるデフォルトの機能セットです。DefaultAddCapabilities と RequiredDropCapabilities の両方に機能をリストすることはできません。 |
|
| `` | defaultAllowPrivilegeEscalation は、プロセスが親プロセスよりも多くの特権を取得できるかどうかのデフォルト設定を制御します。 |
|
| `` | forbiddenSysctls は、明示的に禁止されている sysctl のリストであり、デフォルトは none です。各エントリーは、通常の sysctl 名であるか、"*" で終わります。後者の場合、エントリーは禁止されている sysctl の接頭辞とみなされます。1 つの \* は、すべての sysctl が禁止されていることを意味します。 たとえば、"foo/" は、"foo/bar"、"foo/baz" などを禁止し、"foo." は、"foo.bar"、"foo.baz" などを禁止します。 |
|
| `` | fsGroup は、SecurityContext によって使用される fs グループを決定するストラテジーです。 |
|
| `` | このセキュリティーコンテキスト制約を使用する権限を持つグループ |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
| `` | priority は、Users フィールドおよび Groups フィールドのアクセスに基づいて、特定の Pod 要求に対して最初に試行する SCC を評価するときに SCC の並べ替え順序に影響を与えます。int が高いほど、priority が高くなります。値を設定しないと、priority が 0 と見なされます。複数の SCC のスコアが等しい場合は、最も制限の厳しいものから最も制限の少ないものへと並び替えられます。優先度および制限のどちらも等しい場合、SCC は名前順に並べ替えられます。 |
|
|
| readOnlyRootFilesystem を true に設定すると、コンテナーは読み取り専用のルートファイルシステムで実行します。コンテナーが読み取り専用ではないルートファイルシステムでの実行を特に要求する場合、SCC は Pod を拒否する必要があります。false に設定すると、コンテナーは必要に応じて読み取り専用のルートファイルシステムで実行できますが、強制されることはありません。 |
|
| `` | requiredDropCapabilities は、コンテナーから削除するケイパビリティーです。これらは削除する必要があり、追加はできません。 |
|
| `` | runAsUser は、SecurityContext で使用される RunAsUser を決定するストラテジーです。 |
|
| `` | seLinuxContext は、SecurityContext に設定されるラベルを指示するストラテジーです。 |
|
| `` | seccompProfiles は、Pod またはコンテナーの seccomp アノテーションに設定できる許可されるプロファイルをリスト表示します。未設定 (nil) または空の値は、Pod またはコンテナーによってプロファイルを指定できないことを意味します。ワイルドカード '*' を使用して、すべてのプロファイルを許可できます。Pod の値を生成するために使用される場合は、最初のワイルドカード以外のプロファイルがデフォルトとして使用されます。 |
|
| `` | supplementalGroups は、SecurityContext によって使用される補足グループを指示するストラテジーです。 |
|
|
|
userNamespaceLevel は、ポリシーがコンテナー内のホストユーザーを許可するかどうかを決定します。有効な値は "AllowHostLevel" と "RequirePodLevel" で、省略することもできます。"AllowHostLevel" が設定されている場合、Pod 作成者は |
|
| `` | このセキュリティーコンテキストの制約を使用する権限を持つユーザー |
|
| `` | volumes は、許可されたボリュームプラグインのホワイトリストです。FSType は、VolumeSource のフィールド名 (azureFile、configMap、emptyDir) に直接対応します。すべてのボリュームを許可するには、"*" を使用できます。ボリュームを許可しない場合は、["none"] に設定します。 |
9.2. API エンドポイント
以下の API エンドポイントを利用できます。
/apis/security.openshift.io/v1/securitycontextconstraints-
DELETE: SecurityContextConstraints のコレクションを削除します。 -
GET: Kind が SecurityContextConstraints のオブジェクトを一覧表示します。 -
POST: SecurityContextConstraints を作成します。
-
/apis/security.openshift.io/v1/watch/securitycontextconstraints-
GET: SecurityContextConstraints のリストに対する個々の変更を監視します。非推奨です。代わりに、リスト操作で 'watch' パラメーターを使用してください。
-
/apis/security.openshift.io/v1/securitycontextconstraints/{name}-
DELETE: SecurityContextConstraints を削除します。 -
GET: 指定された SecurityContextConstraints を読み取ります。 -
PATCH: 指定された SecurityContextConstraints を部分的に更新します。 -
PUT: 指定された SecurityContextConstraints を置き換えます。
-
/apis/security.openshift.io/v1/watch/securitycontextconstraints/{name}-
GET: 種類 SecurityContextConstraints のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで 1 つの項目にフィルタリングします。
-
9.2.1. /apis/security.openshift.io/v1/securitycontextconstraints
- HTTP メソッド
-
DELETE - 説明
- SecurityContextConstraints のコレクションを削除します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- Kind が SecurityContextConstraints のオブジェクトを一覧表示します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- SecurityContextConstraints を作成します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 202 - Accepted | |
| 401 - Unauthorized | 空白 |
9.2.2. /apis/security.openshift.io/v1/watch/securitycontextconstraints
- HTTP メソッド
-
GET - 説明
- SecurityContextConstraints のリストに対する個々の変更を監視します。非推奨です。代わりに、リスト操作で 'watch' パラメーターを使用してください。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
9.2.3. /apis/security.openshift.io/v1/securitycontextconstraints/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| SecurityContextConstraints の名前 |
- HTTP メソッド
-
DELETE - 説明
- SecurityContextConstraints を削除します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された SecurityContextConstraints を読み込みます。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された SecurityContextConstraints を部分的に更新します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された SecurityContextConstraints を置き換えます。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK | |
| 201 - Created | |
| 401 - Unauthorized | 空白 |
9.2.4. /apis/security.openshift.io/v1/watch/securitycontextconstraints/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| SecurityContextConstraints の名前 |
- HTTP メソッド
-
GET - 説明
- 種類 SecurityContextConstraints のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで 1 つの項目にフィルタリングします。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
第10章 ServiceAccount [v1]
- 説明
- ServiceAccount は互いにバインドします:*ユーザーおよびおそらく周辺システムによって理解される ID の名前*認証および承認できるプリンシパル*一連のシークレット
- 型
-
object
10.1. 仕様
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| apiVersion はオブジェクトのこの表現のバージョンスキーマを定義します。サーバーは認識されたスキーマを最新の内部値に変換し、認識されない値は拒否することがあります。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources を参照してください。 |
|
|
| AutomountServiceAccountToken は、このサービスアカウントとして実行している Pod に API トークンを自動的にマウントする必要があるかどうかを示します。Pod レベルでオーバーライドできます。 |
|
|
| ImagePullSecrets は、この ServiceAccount を参照する Pod 内のイメージをプルするのに使用する同じ namespace 内のシークレットへの参照のリストです。Secrets は Pod にマウントできるため、ImagePullSecrets は Secrets とは異なりますが、ImagePullSecrets には kubelet からのみアクセスできます。詳細: https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod |
|
|
| LocalObjectReference には、同じ namespace 内で参照オブジェクトを見つけるのに十分な情報が含まれます。 |
|
|
| kind はこのオブジェクトが表す REST リソースを表す文字列の値です。サーバーはクライアントが要求を送信するエンドポイントからこれを推測できることがあります。これは更新できません。CamelCase を使用します。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 標準オブジェクトのメタデータ。詳細は、https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata を参照してください。 | |
|
|
| Secrets は、この ServiceAccount を使用して実行されている Pod が使用できる同じ名前空間内のシークレットのリストです。このサービスアカウントの "kubernetes.io/enforce-mountable-secrets" アノテーションが "true" に設定されている場合、Pod はこのリストにのみ制限されます。"kubernetes.io/enforce-mountable-secrets" アノテーションは、v1.32 以降で非推奨となりました。マウントされたシークレットへのアクセスを分離するには、個別の namespace を使用することを推奨します。このフィールドは、Pod の外部で使用する自動生成されたサービスアカウントトークンのシークレット検索に使用しないでください。代わりに、トークンは TokenRequest API を使用して直接要求することも、サービスアカウントトークンシークレットを手動で作成することも可能です。詳細: https://kubernetes.io/docs/concepts/configuration/secret |
|
|
| ObjectReference には参照先のオブジェクトを調査または変更するのに十分な情報が含まれます。 |
10.1.1. .imagePullSecrets
- 説明
- ImagePullSecrets は、この ServiceAccount を参照する Pod 内のイメージをプルするのに使用する同じ namespace 内のシークレットへの参照のリストです。Secrets は Pod にマウントできるため、ImagePullSecrets は Secrets とは異なりますが、ImagePullSecrets には kubelet からのみアクセスできます。詳細: https://kubernetes.io/docs/concepts/containers/images/#specifying-imagepullsecrets-on-a-pod
- 型
-
array
10.1.2. .imagePullSecrets[]
- 説明
- LocalObjectReference には、同じ namespace 内で参照オブジェクトを見つけるのに十分な情報が含まれます。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| 参照先の名前。このフィールドは実質的には必須ですが、下位互換性のため空でもかまいません。ここで空の値を持つこの型のインスタンスは、ほぼ間違いなく間違っています。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names |
10.1.3. .secrets
- 説明
- Secrets は、この ServiceAccount を使用して実行されている Pod が使用できる同じ名前空間内のシークレットのリストです。このサービスアカウントの "kubernetes.io/enforce-mountable-secrets" アノテーションが "true" に設定されている場合、Pod はこのリストにのみ制限されます。"kubernetes.io/enforce-mountable-secrets" アノテーションは、v1.32 以降で非推奨となりました。マウントされたシークレットへのアクセスを分離するには、個別の namespace を使用することを推奨します。このフィールドは、Pod の外部で使用する自動生成されたサービスアカウントトークンのシークレット検索に使用しないでください。代わりに、トークンは TokenRequest API を使用して直接要求することも、サービスアカウントトークンシークレットを手動で作成することも可能です。詳細: https://kubernetes.io/docs/concepts/configuration/secret
- 型
-
array
10.1.4. .secrets[]
- 説明
- ObjectReference には参照先のオブジェクトを調査または変更するのに十分な情報が含まれます。
- 型
-
object
| プロパティー | 型 | 説明 |
|---|---|---|
|
|
| 参照先の API バージョン。 |
|
|
| オブジェクト全体ではなく一部を参照する場合に、この文字列には、desiredState.manifest.containers[2] など、有効な JSON/Go フィールドアクセスステートメントを含める必要があります。たとえば、オブジェクトの参照先が Pod 内のコンテナーの場合には、"spec.containers{name}" などの値に設定されます ("name" はイベントをトリガーしたコンテナー名に置き換えます)。またはコンテナー名が指定されていない場合には、"spec.containers[2]" の値に設定されます (この Pod 内でインデックスが 2 のコンテナー)。この構文が選択された唯一の理由は、オブジェクトの一部の参照を明確に定義するためです。 |
|
|
| 参照先の種類。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
|
| 参照先の名前。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#names |
|
|
| 参照先の namespace。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/namespaces/ |
|
|
| この参照が作成される特定の resourceVersion (ある場合)。詳細: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#concurrency-control-and-consistency |
|
|
| 参照先の UID。詳細: https://kubernetes.io/docs/concepts/overview/working-with-objects/names/#uids |
10.2. API エンドポイント
以下の API エンドポイントを利用できます。
/api/v1/serviceaccounts-
GET: ServiceAccount の種類のオブジェクトをリスト表示または監視する
-
/api/v1/watch/serviceaccounts-
GET: ServiceAccount のリストに対する個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用してください。
-
/api/v1/namespaces/{namespace}/serviceaccounts-
DELETE: ServiceAccount のコレクションを削除します -
GET: ServiceAccount の種類のオブジェクトをリスト表示または監視する -
POST: ServiceAccount を作成します
-
/api/v1/watch/namespaces/{namespace}/serviceaccounts-
GET: ServiceAccount のリストに対する個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用してください。
-
/api/v1/namespaces/{namespace}/serviceaccounts/{name}-
DELETE: ServiceAccount を削除します。 -
GET: 指定された ServiceAccount を読み取ります。 -
PATCH: 指定された ServiceAccount を部分的に更新します。 -
PUT: 指定された ServiceAccount を置き換えます。
-
/api/v1/watch/namespaces/{namespace}/serviceaccounts/{name}-
GET: ServiceAccount 種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
-
10.2.1. /api/v1/serviceaccounts
- HTTP メソッド
-
GET - 説明
- ServiceAccount の種類のオブジェクトをリスト表示または監視する
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
10.2.2. /api/v1/watch/serviceaccounts
- HTTP メソッド
-
GET - 説明
- ServiceAccount のリストに対する個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
10.2.3. /api/v1/namespaces/{namespace}/serviceaccounts
- HTTP メソッド
-
DELETE - 説明
- ServiceAccount のコレクションを削除する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- ServiceAccount の種類のオブジェクトをリスト表示または監視する
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
POST - 説明
- ServiceAccount を作成します。
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
10.2.4. /api/v1/watch/namespaces/{namespace}/serviceaccounts
- HTTP メソッド
-
GET - 説明
- ServiceAccount のリストに対する個々の変更を監視します。非推奨: 代わりにリスト操作で 'watch' パラメーターを使用します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
10.2.5. /api/v1/namespaces/{namespace}/serviceaccounts/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| ServiceAccount の名前 |
- HTTP メソッド
-
DELETE - 説明
- ServiceAccount を削除する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 202 - Accepted |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
GET - 説明
- 指定された ServiceAccount を読み込む
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PATCH - 説明
- 指定された ServiceAccount を部分的に更新する
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
- HTTP メソッド
-
PUT - 説明
- 指定された ServiceAccount を置き換える
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| これは、変更を永続化してはならないことを示します。dryRun ディレクティブが無効な場合や、認識されない場合はエラーの応答が返され、その要求に対する処理はこれ以上行われません。有効な値は All で、すべてのドライランステージが処理されます。 |
|
|
| fieldValidation は、不明なフィールドまたは重複したフィールドを含むリクエスト (POST/PUT/PATCH) 内のオブジェクトを処理する方法をサーバーに指示します。有効な値は Ignore です。オブジェクトからサイレントにドロップされた不明なフィールドを無視し、デコーダーが検出した最後の重複フィールドを除くすべてを無視します。これは、v1.23 より前のデフォルトの動作です。- Warn: オブジェクトから削除された不明なフィールドごと、および検出された重複フィールドごとに、標準の警告応答ヘッダーを介して警告が送信されます。他にエラーがなければ要求は成功し、重複するフィールドの最後のものだけを保持します。これは v1.23 以降のデフォルトです。- Strict: 不明なフィールドがオブジェクトから削除される場合、または重複フィールドが存在する場合は、リクエストが BadRequest エラーで失敗します。サーバーから返されるエラーには、検出されたすべての不明な重複フィールドが含まれます。 |
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
|
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 201 - Created |
|
| 401 - Unauthorized | 空白 |
10.2.6. /api/v1/watch/namespaces/{namespace}/serviceaccounts/{name}
| パラメーター | 型 | 説明 |
|---|---|---|
|
|
| ServiceAccount の名前 |
- HTTP メソッド
-
GET - 説明
- ServiceAccount 種類のオブジェクトへの変更を監視します。非推奨: 代わりに、リスト操作で 'watch' パラメーターを使用し、'fieldSelector' パラメーターで単一の項目にフィルター処理します。
| HTTP コード | 応答のボディー |
|---|---|
| 200 - OK |
|
| 401 - Unauthorized | 空白 |
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}