1.3. OpenShift Dedicated での認可について

認可は、要求されたアクションを実行する権限を識別されたユーザーが持っているかどうかを決定することです。

管理者は、権限を定義し、ルール、ロール、バインディングなどの RBAC オブジェクトを使用してその権限をユーザーに割り当てることができます。OpenShift Dedicated での認可の仕組みを理解するには、認可の評価を参照してください。

プロジェクトと namespace を介して、OpenShift Dedicated クラスターへのアクセスを制御することもできます。

クラスターへのユーザーアクセスを制御するだけでなく、セキュリティーコンテキスト制約 (SCC) を使用して、Pod が実行できるアクションとアクセスできるリソースを制御することもできます。

次のタスクを通じて、OpenShift Dedicated の認可を管理できます。

ローカルおよびクラスターのロールとバインディングの表示。
ローカルロールを作成し、それをユーザーまたはグループに割り当てます。
ユーザーまたはグループへのクラスターロールの割り当て: OpenShift Dedicated には、デフォルトのクラスターロールのセットがあります。これらをユーザーまたはグループに追加できます。
ユーザーへの管理者権限の付与: ユーザーに dedicated-admin 権限を付与できます。
サービスアカウントの作成: サービスアカウントは、通常のユーザークレデンシャルを共有せずに API アクセスを制御する柔軟な方法を提供します。ユーザーは、アプリケーションでサービスアカウントを作成して使用したり、OAuth クライアントとして使用したりできます。
スコープトークン: スコープトークンは、特定の操作のみを実行できる特定のユーザーとして識別するトークンです。スコープ付きトークンを作成して、パーミッションの一部を別のユーザーまたはサービスアカウントに委任できます。
LDAP グループの同期: LDAP サーバーに保存されているグループを OpenShift Dedicated ユーザーグループと同期することにより、ユーザーグループを 1 カ所で管理できます。