2.5.12. IAM ポリシーの管理
IAM ポリシーを適用し、マネージドクラスター内で許可されているクラスター管理者の数を確認します。以下のセクションでは、IAM ポリシーの作成、適用、表示、および更新について説明します。
2.5.12.1. IAM ポリシーの作成
コマンドラインインターフェース (CLI) またはコンソールから IAM ポリシーの YAML ファイルを作成できます。
2.5.12.1.1. CLI からの IAM ポリシーの作成
CLI から IAM ポリシーを作成するには、以下の手順を実行します。
IAM ポリシー定義を使用して YAML ファイルを作成します。以下のコマンドを実行します。
kubectl create -f iam-policy-1.yaml
IAM ポリシーは以下の YAML ファイルのようになります。
apiVersion: policy.open-cluster-management.io/v1 kind: IamPolicy metadata: name: iam-grc-policy label: category: "System-Integrity" spec: namespaceSelector: include: ["default","kube-*"] exclude: ["kube-system"] remediationAction: inform disabled: false maxClusterRoleBindingUsers: 5
以下のコマンドを実行してポリシーを適用します。
kubectl apply -f <iam-policy-file-name> --namespace=<mcm_namespace>
以下のコマンドを実行してポリシーの一覧を確認します。
kubectl get <iam-policy-file-name> --namespace=<mcm_namespace>
IAM ポリシーが作成されました。
2.5.12.1.1.1. CLI からの IAM ポリシーの表示
IAM ポリシーを表示するには、以下の手順を実行します。
以下のコマンドを実行して、特定の IAM ポリシーの詳細を表示します。
kubectl get iampolicy <policy-name> -n <namespace> -o yaml
以下のコマンドを実行して、IAM ポリシーの詳細を表示します。
kubectl describe iampolicy <name> -n <namespace>
2.5.12.1.2. コンソールからの IAM ポリシーの作成
コンソールから IAM ポリシーを作成すると、YAML エディターで YAML ファイルも 作成されます。コンソールから IAM ポリシーを作成するには、以下の手順を実行します。
- コンソールからクラスターにログインします。
- ナビゲーションメニューから Govern risk をクリックします。
- Create policy をクリックします。
- Specifications フィールドから IamPolicy を選択します。残りのパラメーターの値は、ポリシーを選択すると自動的に設定されます。値は編集できます。
- Create をクリックします。
IAM ポリシーが作成されました。
2.5.12.1.2.1. コンソールからの IAM ポリシーの表示
コンソールから IAM ポリシーとそのステータスを表示できます。
- コンソールからクラスターにログインします。
ナビゲーションメニューから Govern risk をクリックし、ポリシー表の一覧を表示します。
注記: ポリシー表の一覧をフィルタリングするには、Policies タブまたは Cluster violations タブを選択します。
- 詳細を表示するポリシーを 1 つ選択します。
- Status タブを選択して、IAM ポリシー違反を表示します。