12.4. SCC (Security Context Constraints) の作成

手順

1. JSON または YAML ファイルで SCC を定義します。

   SecurityContextConstraints オブジェクト定義

   kind: SecurityContextConstraints
   apiVersion: security.openshift.io/v1
   metadata:
     name: scc-admin
   allowPrivilegedContainer: true
   runAsUser:
     type: RunAsAny
   seLinuxContext:
     type: RunAsAny
   fsGroup:
     type: RunAsAny
   supplementalGroups:
     type: RunAsAny
   users:
   - my-admin-user
   groups:
   - my-admin-group

   Copy to Clipboard Toggle word wrap

   オプションとして、requiredDropCapabilities フィールドに必要な値を設定してドロップ機能を SCC に追加することができます。指定された機能はコンテナーからドロップされることになります。たとえば、SCC を KILL、MKNOD、および SYS_CHROOT の必要なドロップ機能を使って作成するには、以下を SCC オブジェクトに追加します。

   requiredDropCapabilities:
   - KILL
   - MKNOD
   - SYS_CHROOT

   Copy to Clipboard Toggle word wrap

   使用できる値の一覧は、Docker ドキュメント で確認できます。

   ヒント

   機能は Docker に渡されるため、特殊な ALL 値を使用してすべての機能をドロップすることができます。

2. 次に、作成するファイルを渡して oc create を実行します。

   $ oc create -f scc_admin.yaml
   securitycontextconstraints "scc-admin" created

   Copy to Clipboard Toggle word wrap

3. SCC が作成されていることを確認します。

   $ oc get scc scc-admin
   NAME        PRIV      CAPS      SELINUX    RUNASUSER   FSGROUP    SUPGROUP   PRIORITY   READONLYROOTFS   VOLUMES
   scc-admin   true      []        RunAsAny   RunAsAny    RunAsAny   RunAsAny   <none>     false            [awsElasticBlockStore azureDisk azureFile cephFS cinder configMap downwardAPI emptyDir fc flexVolume flocker gcePersistentDisk gitRepo glusterfs iscsi nfs persistentVolumeClaim photonPersistentDisk quobyte rbd secret vsphere]

   Copy to Clipboard Toggle word wrap