1.3. Red Hat OpenShift Service on AWS での認可について
認可は、要求されたアクションを実行する権限を識別されたユーザーが持っているかどうかを決定することです。
管理者は、権限を定義し、ルール、ロール、バインディングなどの RBAC オブジェクトを使用してそれらをユーザーに割り当てることができます。Red Hat OpenShift Service on AWS での認可の仕組みを理解するには、認可の評価 を参照してください。
プロジェクトと namespace を介して、Red Hat OpenShift Service on AWS クラスターへのアクセスを制御することもできます。
クラスターへのユーザーアクセスを制御するだけでなく、Security Context Constraints (SCC) を使用して、Pod が実行できるアクションとアクセスできるリソースを制御することもできます。
次のタスクを通じて、Red Hat OpenShift Service on AWS の認証を管理できます。
- ローカルおよびクラスターのロールとバインディングの表示。
- ローカルロールを作成し、それをユーザーまたはグループに割り当てます。
- ユーザーまたはグループへのクラスターロールの割り当て: Red Hat OpenShift Service on AWS には、デフォルトのクラスターロール のセットがあります。これらをユーザーまたはグループに追加 できます。
-
クラスター管理者および dedicated-admin ユーザーの作成: Red Hat OpenShift Service on AWS クラスターを作成したユーザーは、他の
cluster-admin
およびdedicated-admin
ユーザーにアクセスを許可できます。 - サービスアカウントの作成: サービスアカウントは、通常のユーザークレデンシャルを共有せずに API アクセスを制御する柔軟な方法を提供します。ユーザーは、アプリケーションでサービスアカウントを作成して使用したり、OAuth クライアント として使用したりできます。
- スコープトークン: スコープトークンは、特定の操作のみを実行できる特定のユーザーとして識別するトークンです。スコープ付きトークンを作成して、パーミッションの一部を別のユーザーまたはサービスアカウントに委任できます。
- LDAP グループの同期: LDAP サーバーに保存されているグループを Red Hat OpenShift Service on AWS ユーザーグループと同期 することにより、ユーザーグループを 1 カ所で管理できます。