Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第3章 OpenShift Database Access プロバイダーのアカウントポリシーとユーザーペルソナ

ポリシー

Red Hat OpenShift Database Access (RHODA) は、ポリシーを使用して、特定の namespace 内のプロバイダーアカウントインベントリーのアクセス機能を管理します。アクセス機能は、さまざまなユーザーペルソナによって事前定義されており、複数の組織が単一のクラスターを共有できるようにするマルチテナンシー設定を定義するために使用できます。さらに、ポリシーを使用すると、厳格なインベントリーポリシーを作成して、プロバイダーアカウントインベントリーへのアクセスを制御できます。ポリシーのデフォルト値は、インベントリーごとに上書きできます。

OpenShift Database Access アドオンをインストールした後、RHODA Operator は Operator のインストール namespace に新しい Database-as-a-Service (DBaaS) ポリシーオブジェクトを作成します。デフォルトでは、この namespace は redhat-dbaas-operator または openshift-dbaas-operator です。

RHODA Operator は、namespace ごとに 1 つのポリシーのみを許可し、ポリシーで定義されているインベントリーオブジェクトの変更を監視します。その後、RHODA Operator は適切なアクセス要件を設定します。

以下は、オプションの spec フィールドを含む DBaaSPolicy オブジェクトの例です。このポリシー例では、User1 は、namespace user1-project のプロバイダーアカウントインベントリーを別の namespace user1-project2 と共有します。 

apiVersion: dbaas.redhat.com/v1alpha1
kind: DBaaSPolicy
metadata:
  name: user1-policy
  namespace: user1-project
spec:
  connectionNamespaces:
1 

   - user1-project2
2 

  disableProvisions: false
3
Copy to Clipboard Toggle word wrap

1
ポリシーのインベントリーへの接続が許可されている他の namespace の一覧。namespace をリストする代わりに、一重引用符で囲まれたアスタリスク ('*') を使用すると、OpenShift クラスターで使用可能なすべての namespace からの接続が許可されます。
2
リストされた namespace のインベントリーを表示するには、少なくとも ビューロールが必要です。
3
プロバイダーアカウントインベントリーでのプロビジョニングを無効にします。デフォルトは false です。

ペルソナ

ユーザーペルソナは、OpenShift Database Access の対象ユーザーのロールを定義します。各ロールには、ユーザーがサービスを操作する際に実行できる重要な特性があります。OpenShift Database Access は、クラスター管理者、プロジェクト管理者、RHODA サービス管理者、および RHODA 開発者の 4 つのペルソナを使用します。これらのロールは、最高の権限レベルであるクラスター管理者から始まり、最低の権限レベルである RHODA 開発者まで下ります。

クラスターアドミニストレータを除いて、他のすべてのペルソナは namespace 固有です。ユーザーは、作業している各 namespace 内で異なるロールを持つ場合があります。たとえば、ユーザーはある namespace で開発者になり、別の namespace でプロジェクト管理者になることもできます。

クラスター管理者

クラスター管理者は cluster-admin ロールを持つユーザーであり、OpenShift クラスター内のすべてのリソースと namespace への完全なアクセス権を持っています。クラスター管理者は、次の操作を実行できます。

  • RHODA Operator をインストールしてアップグレードします。

  • 他のユーザーまたはグループを Operator 管理者に割り当てます。

    コマンドラインの構文と例

    oc adm policy add-role-to-group admin GROUP_NAME \
-n NAMESPACE_OF_OPERATOR_INSTALLATION
oc adm policy add-role-to-user admin USER_NAME \
-n NAMESPACE_OF_OPERATOR_INSTALLATION

$ oc adm policy add-role-to-group admin rhoda-admins \
-n redhat-dbaas-operator
$ oc adm policy add-role-to-user admin user01 \
-n redhat-dbaas-operator
    Copy to Clipboard Toggle word wrap

  • プロジェクト管理者ができることすべて。
プロジェクト管理者

プロジェクト管理者は、特定のネームスペースに対する管理権限を持つ任意のユーザーであり、admin ロールを持ちます。プロジェクト管理者は次のことを実行できます。

  • ユーザーを追加のプロジェクト管理者、RHODA サービス管理者、および RHODA 開発者として特定の namespace に割り当てます。

    コマンドラインの構文と例

    oc adm policy add-role-to-user admin USER_NAME -n PROJECT_NAMESPACE
oc adm policy add-role-to-user edit USER_NAME -n PROJECT_NAMESPACE
oc adm policy add-role-to-user view USER_NAME -n PROJECT_NAMESPACE

$ oc adm policy add-role-to-user admin user02 -n example-project
    1 
    
$ oc adm policy add-role-to-user edit user03 -n example-project
    2 
    
$ oc adm policy add-role-to-user view user04 -n example-project
    3
    Copy to Clipboard Toggle word wrap

    1
    ユーザーを追加のプロジェクト管理者として割り当てます。
    2
    RHODA サービス管理者を特定の namespace に割り当てます。
    3
    RHODA 開発者を特定の namespace に割り当てます。
  • RHODA サービス管理者が実行できるすべてのこと。
RHODA サービス管理者

RHODA サービス管理者の権限は、プロジェクト管理者のサブセットであり、edit のロールを持ちます。ユーザーは、特定の namespace のプロジェクト管理者と RHODA サービス管理者の両方になることができ、クラウドでホストされるデータベースプロバイダーの資格情報を持っています。RHODA サービス管理者は、次のことができます。

  • namespace で OpenShift データベースアクセスを有効にします。
  • namespace のポリシーを設定します。
  • クラウドでホストされているデータベースプロバイダーのプロバイダーアカウントをインポートし、それらのプロバイダーのシークレットを生成できます。
  • namespace に DBaaSInventoryDBaaSConnections、および DBaaSInstances オブジェクトを作成します。
  • RHODA 開発者ができることすべて。
RHODA 開発者

RHODA 開発者はデータベースに接続できますが、アクセスできるクラウドホスト型データベースプロバイダーのアカウントによって制限されます。RHODA 開発者には view ロールがあり、次のことができます。

  • 特定のインベントリー、およびプロバイダーアカウントから利用可能なデータベースインスタンスを表示します。
  • 独自の namespace を作成すると、その新しい namespace のプロジェクト管理者になります。
  • DBaaSConnections および DBaaSInstances カスタムリソース (CR) を使用して、許可された namespace で接続を作成します。これらは、ユーザーが少なくとも edit 権限を持つ namespace です。
  • トポロジービューページを使用して、許可された namespace でアプリケーションとデータベース間のサービスバインディングを作成します。
  • インベントリーの namespace に保存されているシークレットにはアクセスできません。
  • インベントリーの namespace にオブジェクトを作成するためのアクセス権はありません。
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る