7.3. cluster-admin アクセス権限の付与
クラスターを作成したユーザーは、cluster-admin
ユーザーロールをアカウントに追加して、最大管理者権限を割り当てます。これらの権限は、クラスターの作成時に自動的にユーザーアカウントに割り当てられることはありません。
さらに、クラスターを作成したユーザーのみが、他の cluster-admin
または dedicated-admin
ユーザーにクラスターアクセスを付与できます。dedicated-admin
アクセスを持つユーザーの権限は少なくなります。ベストプラクティスとして、cluster-admin
ユーザーの数をできるだけ少なく制限できます。
前提条件
- アイデンティティープロバイダー (IDP) をクラスターに追加している。
- 作成するユーザーの IDP ユーザー名がある。
- クラスターにログインしている。
手順
ユーザーに
cluster-admin
権限を付与します。$ rosa grant user cluster-admin --user=<idp_user_name> --cluster=<cluster_name>
ユーザーがクラスター管理者としてリスト表示されていることを確認します。
$ rosa list users --cluster=<cluster_name>
出力例
GROUP NAME cluster-admins rh-rosa-test-user dedicated-admins rh-rosa-test-user
以下のコマンドを実行して、ユーザーが
cluster-admin
アクセスを持つことを確認します。クラスター管理者はエラーを出さずにこのコマンドを実行できますが、専用の管理者は実行できません。$ oc get all -n openshift-apiserver
出力例
NAME READY STATUS RESTARTS AGE pod/apiserver-6ndg2 1/1 Running 0 17h pod/apiserver-lrmxs 1/1 Running 0 17h pod/apiserver-tsqhz 1/1 Running 0 17h NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE service/api ClusterIP 172.30.23.241 <none> 443/TCP 18h NAME DESIRED CURRENT READY UP-TO-DATE AVAILABLE NODE SELECTOR AGE daemonset.apps/apiserver 3 3 3 3 3 node-role.kubernetes.io/master= 18h
関連情報