18.7. マルチテナンシーについて


Red Hat Advanced Cluster Security for Kubernetes には、Central インスタンス内にマルチテナンシーを実装する方法が用意されています。

マルチテナンシーは、RHACS 内のロールベースアクセス制御 (RBAC) とアクセススコープを使用して実装できます。

18.7.1. リソーススコープについて

RHACS には、RBAC 内で使用されるリソースが組み込まれています。各リソースには、権限が関連付けられているだけでなく、スコープが指定されています。

RHACS では、リソースに次のタイプのスコープが指定されています。

  • グローバルスコープ。リソースはクラスターにも namespace にも割り当てられません。
  • クラスタースコープ。リソースは特定のクラスターに割り当てられます。
  • namespace スコープ。リソースは特定の namespace に割り当てられます。

カスタムのアクセススコープを作成するときは、リソースのスコープが重要です。カスタムのアクセススコープは、RHACS 内でマルチテナンシーを実現するために使用します。

アクセススコープでのスコープ指定には、クラスタースコープか namespace スコープのリソースのみが適用されます。グローバルスコープのリソースは、アクセススコープによってスコープ指定されません。したがって、RHACS 内のマルチテナンシーは、クラスターまたは namespace によってスコープ指定されたリソースに対してのみ実現できます。

18.7.2. namespace ごとのマルチテナンシーの例

RHACS 内のマルチテナンシーの一般的な例としては、ユーザーを特定の namespace に関連付け、特定の namespace へのアクセスのみを許可することが挙げられます。

次の例では、カスタム権限セット、アクセススコープ、およびロールを組み合わせています。このロールが割り当てられたユーザーまたはグループは、自分に対するスコープが指定された特定の namespace またはクラスター内のデプロイメントに関する CVE 情報、違反、および情報のみを表示できます。

手順

  1. RHACS ポータルで、Platform Configuration Access Control を選択します。
  2. Permission Sets を選択します。
  3. Create permission set をクリックします。
  4. 権限セットの NameDescription を入力します。
  5. 次のリソースとアクセスレベルを選択し、Save をクリックします。

    • Alert の READ
    • Deployment の READ
    • DeploymentExtension の READ
    • Image の READ
    • K8sRole の READ
    • K8sRoleBinding の READ
    • K8sSubject の READ
    • NetworkGraph の READ
    • NetworkPolicy の READ
    • Secret の READ
    • ServiceAccount の READ
  6. Access Scopes を選択します。
  7. Create access scope をクリックします。
  8. アクセススコープの NameDescription を入力します。
  9. Allowed resources セクションで、スコープ指定に使用する namespace を選択し、Save をクリックします。
  10. Roles を選択します。
  11. Create role をクリックします。
  12. ロールの NameDescription を入力します。
  13. 以前に作成したロールの Permission SetAccess scope を選択し、Save をクリックします。
  14. 必要なユーザーまたはグループにロールを割り当てます。ユーザーまたはグループへのロールの割り当て を参照してください。
注記

このサンプルロールが割り当てられたユーザーの RHACS ダッシュボードのオプションは、管理者が使用できるオプションと比べて、最小限に抑えられています。このユーザーには、関連するページのみが表示されます。

18.7.3. 制限事項

グローバルスコープ を持つリソースでは、RHACS 内でマルチテナンシーを実現できません。

次のリソースはグローバルスコープを持ちます。

  • Access
  • Administration
  • Detection
  • Integration
  • VulnerabilityManagementApprovals
  • VulnerabilityManagementRequests
  • WatchedImage
  • WorkflowAdministration

これらのリソースは、RHACS Central インスタンス内のすべてのユーザー間で共有され、スコープを指定することはできません。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.