1.3. OpenShift Dedicated での認可について
認可は、要求されたアクションを実行する権限を識別されたユーザーが持っているかどうかを決定することです。
管理者は、権限を定義し、ルール、ロール、バインディングなどの RBAC オブジェクトを使用してその権限をユーザーに割り当てることができます。OpenShift Dedicated での認可の仕組みを理解するには、認可の評価 を参照してください。
プロジェクトと namespace を介して、OpenShift Dedicated クラスターへのアクセスを制御することもできます。
クラスターへのユーザーアクセスを制御するだけでなく、セキュリティーコンテキスト制約 (SCC) を使用して、Pod が実行できるアクションとアクセスできるリソースを制御することもできます。
次のタスクを通じて、OpenShift Dedicated の認可を管理できます。
- ローカル および クラスター のロールとバインディングの表示。
- ローカルロール を作成し、それをユーザーまたはグループに割り当てます。
- ユーザーまたはグループへのクラスターロールの割り当て: OpenShift Dedicated には、デフォルトのクラスターロール のセットがあります。これらをユーザーまたはグループに追加 できます。
-
ユーザーへの管理者権限の付与: ユーザーに
dedicated-admin権限を付与 できます。 - サービスアカウントの作成: サービスアカウントは、通常のユーザークレデンシャルを共有せずに API アクセスを制御する柔軟な方法を提供します。ユーザーは、アプリケーションでサービスアカウントを作成して使用したり、OAuth クライアント として使用したりできます。
- スコープトークン: スコープトークンは、特定の操作のみを実行できる特定のユーザーとして識別するトークンです。スコープ付きトークンを作成して、パーミッションの一部を別のユーザーまたはサービスアカウントに委任できます。
- LDAP グループの同期: LDAP サーバーに保存されているグループを OpenShift Dedicated ユーザーグループと同期 することにより、ユーザーグループを 1 カ所で管理できます。
