1.3. OpenShift Container Platform의 권한 부여 정보
권한 부여에는 확인된 사용자가 요청된 작업을 수행할 수 있는 권한이 있는지 여부를 확인하는 작업이 포함됩니다.
관리자는 권한을 정의하고 규칙, 역할, 바인딩과 같은 RBAC 오브젝트 를 사용하여 사용자에게 할당할 수 있습니다. OpenShift Container Platform에서 인증 작동 방식을 알아보려면 권한 부여 에스컬레이션을 참조하십시오.
프로젝트 및 네임스페이스 를 통해 OpenShift Container Platform 클러스터에 대한 액세스를 제어할 수도 있습니다.
클러스터에 대한 사용자 액세스 제어와 함께 Pod에서 수행할 수 있는 작업과 SCC(보안 컨텍스트 제약 조건) 를 사용하여 액세스할 수 있는 리소스를 제어할 수도 있습니다.
다음 작업을 통해 OpenShift Container Platform의 권한 부여를 관리할 수 있습니다.
- 로컬 및 클러스터 역할 및 바인딩을 확인합니다.
- 로컬 역할을 생성하고 사용자 또는 그룹에 할당합니다.
- 클러스터 역할을 생성하고 사용자 또는 그룹에 할당합니다. OpenShift Container Platform에는 기본 클러스터 역할 세트가 포함되어 있습니다. 추가 클러스터 역할을 생성하고 사용자 또는 그룹에 추가할 수 있습니다.
cluster-admin 사용자 생성: 기본적으로 클러스터에는
kubeadmin
이라는 클러스터 관리자가 하나만 있습니다. 다른 클러스터 관리자를 생성할 수 있습니다. 클러스터 관리자를 생성하기 전에 ID 공급자를 구성했는지 확인합니다.참고클러스터 admin 사용자를 생성한 후 기존 kubeadmin 사용자를 삭제하여 클러스터 보안을 개선합니다.
- 서비스 계정 생성: 서비스 계정은 일반 사용자의 자격 증명을 공유하지 않고도 API 액세스를 유연하게 제어할 수 있는 방법을 제공합니다. 사용자는 애플리케이션에서 서비스 계정을 생성하고 OAuth 클라이언트로 사용할 수 있습니다.
- 범위 지정 토큰: 범위가 지정된 토큰은 특정 작업만 수행할 수 있는 특정 사용자로 식별하는 토큰입니다. 범위가 지정된 토큰을 생성하여 일부 권한을 다른 사용자 또는 서비스 계정에 위임할 수 있습니다.
- LDAP 그룹 동기화: LDAP 서버에 저장된 그룹을 OpenShift Container Platform 사용자 그룹과 동기화 하여 한 곳에서 사용자 그룹을 관리할 수 있습니다.