ホーム
製品
OpenShift Dedicated
4
認証および認可
13.4. CCS クラスターの Security Context Constraints の作成

13.4. CCS クラスターの Security Context Constraints の作成

デフォルトの Security Context Constraints (SCC) がアプリケーションのワークロード要件を満たさない場合は、OpenShift CLI (oc) を使用してカスタム SCC を作成できます。

重要

独自の SCC の作成と変更は高度な操作であり、クラスターを不安定にする可能性があります。独自の SCC の使用について質問がある場合は、Red Hat サポートにお問い合わせください。Red Hat サポートへの連絡方法は、サポートを受ける方法 を参照してください。

注記

OpenShift Dedicated デプロイメントでは、カスタマークラウドサブスクリプション (CCS) モデルを使用するクラスターに対してのみ、独自の SCC を作成できます。SCC リソースの作成には cluster-admin 権限が必要なため、Red Hat クラウドアカウントを使用する OpenShift Dedicated クラスターの SCC を作成することはできません。

前提条件

OpenShift CLI (oc) がインストールされている。
cluster-admin ロールを持つユーザーとしてクラスターにログインしている。

手順

scc-admin.yaml という名前の YAML ファイルで SCC を定義します。
```
kind: SecurityContextConstraints
apiVersion: security.openshift.io/v1
metadata:
  name: scc-admin
allowPrivilegedContainer: true
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
fsGroup:
  type: RunAsAny
supplementalGroups:
  type: RunAsAny
users:
- my-admin-user
groups:
- my-admin-group
```
```
kind: SecurityContextConstraints
apiVersion: security.openshift.io/v1
metadata:
  name: scc-admin
allowPrivilegedContainer: true
runAsUser:
  type: RunAsAny
seLinuxContext:
  type: RunAsAny
fsGroup:
  type: RunAsAny
supplementalGroups:
  type: RunAsAny
users:
- my-admin-user
groups:
- my-admin-group
```
Copy to Clipboard Toggle word wrap
オプションとして、requiredDropCapabilities フィールドに必要な値を設定して、SCC の特定の機能を取り除くことができます。指定された機能はコンテナーからドロップされます。すべてのケイパビリティーを破棄するには、ALL を指定します。たとえば、KILL 機能、MKNOD 機能、および SYS_CHROOT 機能のない SCC を作成するには、以下を SCC オブジェクトに追加します。
```
requiredDropCapabilities:
- KILL
- MKNOD
- SYS_CHROOT
```
```
requiredDropCapabilities:
- KILL
- MKNOD
- SYS_CHROOT
```
Copy to Clipboard Toggle word wrap
注記
allowedCapabilities と requiredDropCapabilities の両方に、機能を追加できません。
CRI-O は、Docker ドキュメントに記載されている同じ一連の機能の値をサポートします。
ファイルを渡して SCC を作成します。
```
oc create -f scc-admin.yaml
```
```
$ oc create -f scc-admin.yaml
```
Copy to Clipboard Toggle word wrap
出力例
```
securitycontextconstraints "scc-admin" created
```
```
securitycontextconstraints "scc-admin" created
```
Copy to Clipboard Toggle word wrap

検証

SCC が作成されていることを確認します。

oc get scc scc-admin

$ oc get scc scc-admin

Copy to Clipboard

Toggle word wrap

出力例

NAME        PRIV      CAPS      SELINUX    RUNASUSER   FSGROUP    SUPGROUP   PRIORITY   READONLYROOTFS   VOLUMES
scc-admin   true      []        RunAsAny   RunAsAny    RunAsAny   RunAsAny   <none>     false            [awsElasticBlockStore azureDisk azureFile cephFS cinder configMap downwardAPI emptyDir fc flexVolume flocker gcePersistentDisk gitRepo glusterfs iscsi nfs persistentVolumeClaim photonPersistentDisk quobyte rbd secret vsphere]

NAME        PRIV      CAPS      SELINUX    RUNASUSER   FSGROUP    SUPGROUP   PRIORITY   READONLYROOTFS   VOLUMES
scc-admin   true      []        RunAsAny   RunAsAny    RunAsAny   RunAsAny   <none>     false            [awsElasticBlockStore azureDisk azureFile cephFS cinder configMap downwardAPI emptyDir fc flexVolume flocker gcePersistentDisk gitRepo glusterfs iscsi nfs persistentVolumeClaim photonPersistentDisk quobyte rbd secret vsphere]

Copy to Clipboard

Toggle word wrap

トップに戻る

13.4. CCS クラスターの Security Context Constraints の作成

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links