12장. SelfSubjectRulesReview [authorization.k8s.io/v1]
- 설명
- SelfSubjectRulesReview는 현재 사용자가 네임스페이스 내에서 수행할 수 있는 작업 집합을 열거합니다. 반환된 작업 목록은 서버의 권한 부여 모드 및 평가 중에 발생한 오류에 따라 불완전할 수 있습니다. SelfSubjectRulesReview는 UI에서 작업을 표시/해제하거나 최종 사용자가 권한에 대해 신속하게 이유하도록 하는 데 사용해야 합니다. 이로 인해 혼동되는 결정, 캐시 수명/복사 및 정확성 문제가 발생하므로 외부 시스템에서 권한 부여 결정을 내리면 안 됩니다. subjectAccessReview 및 LocalAccessReview는 API 서버에 권한 부여 결정을 지연하는 올바른 방법입니다.
- 유형
-
object
- 필수 항목
-
spec
-
12.1. 사양
속성 | 유형 | 설명 |
---|---|---|
|
| APIVersion은 버전이 지정된 이 오브젝트 표현의 스키마를 정의합니다. 서버는 인식된 스키마를 최신 내부 값으로 변환해야 하며, 인식되지 않는 값을 거부할 수 있습니다. 자세한 내용은 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| kind는 이 오브젝트가 나타내는 REST 리소스에 해당하는 문자열 값입니다. 서버는 클라이언트에서 요청을 제출한 끝점에서 이를 유추할 수 있습니다. CamelCase로 업데이트할 수 없습니다. 자세한 내용은 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| 표준 목록 메타데이터입니다. 자세한 내용은 https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata | |
|
| SelfSubjectRulesReviewSpec은 SelfSubjectRulesReview의 사양을 정의합니다. |
|
| SubjectRulesReviewStatus에는 규칙 검사 결과가 포함되어 있습니다. 이 검사는 서버가 구성된 인증자 세트와 평가 중에 발생한 오류에 따라 불완전할 수 있습니다. 권한 부여 규칙이 추가되므로 목록에 규칙이 표시되면 제목에 해당 권한이 있다고 가정하는 것이 안전합니다. |
12.1.1. .spec
- 설명
- SelfSubjectRulesReviewSpec은 SelfSubjectRulesReview의 사양을 정의합니다.
- 유형
-
object
속성 | 유형 | 설명 |
---|---|---|
|
| 규칙을 평가할 네임스페이스입니다. 필수 항목입니다. |
12.1.2. .status
- 설명
- SubjectRulesReviewStatus에는 규칙 검사 결과가 포함되어 있습니다. 이 검사는 서버가 구성된 인증자 세트와 평가 중에 발생한 오류에 따라 불완전할 수 있습니다. 권한 부여 규칙이 추가되므로 목록에 규칙이 표시되면 제목에 해당 권한이 있다고 가정하는 것이 안전합니다.
- 유형
-
object
- 필수 항목
-
resourceRules
-
비ResourceRules
-
incomplete
-
속성 | 유형 | 설명 |
---|---|---|
|
| evaluationError는 규칙과 함께 표시될 수 있습니다. 규칙 평가를 지원하지 않는 인증자와 같이 규칙 평가 중에 발생한 오류를 나타내며 ResourceRules 및/또는 NonResourceRules가 불완전할 수 있습니다. |
|
| 이 호출에서 반환된 규칙이 불완전하면 불완전합니다. 이는 외부 인증자와 같은 승인자가 규칙 평가를 지원하지 않는 경우 가장 일반적으로 발생합니다. |
|
| NonResourceRules는 리소스가 아닌 리소스에서 수행할 수 있는 작업 목록입니다. 목록 순서는 중요하지 않으며 중복을 포함할 수 있으며 불완전할 수 있습니다. |
|
| NonResourceRule는 리소스가 아닌 리소스에 대한 규칙을 설명하는 정보를 보유합니다. |
|
| ResourceRules는 리소스에서 수행할 수 있는 작업 목록입니다. 목록 순서는 중요하지 않으며 중복을 포함할 수 있으며 불완전할 수 있습니다. |
|
| ResourceRule은 주체가 리소스에서 수행할 수 있는 작업 목록입니다. 목록 순서는 중요하지 않으며 중복을 포함할 수 있으며 불완전할 수 있습니다. |
12.1.3. .status.nonResourceRules
- 설명
- NonResourceRules는 리소스가 아닌 리소스에서 수행할 수 있는 작업 목록입니다. 목록 순서는 중요하지 않으며 중복을 포함할 수 있으며 불완전할 수 있습니다.
- 유형
-
array
12.1.4. .status.nonResourceRules[]
- 설명
- NonResourceRule는 리소스가 아닌 리소스에 대한 규칙을 설명하는 정보를 보유합니다.
- 유형
-
object
- 필수 항목
-
verbs
-
속성 | 유형 | 설명 |
---|---|---|
|
| NonResourceURLs는 사용자가 액세스할 수 있어야 하는 부분적인 URL 세트입니다. s는 허용되지만 경로의 전체 최종 단계로만 허용됩니다. "모두를 의미합니다. |
|
| verb은 다음과 같은 kubernetes 비 리소스 API 동사 목록입니다. get, post, put, delete, patch, head, options. "*"는 모두 의미합니다. |
12.1.5. .status.resourceRules
- 설명
- ResourceRules는 리소스에서 수행할 수 있는 작업 목록입니다. 목록 순서는 중요하지 않으며 중복을 포함할 수 있으며 불완전할 수 있습니다.
- 유형
-
array
12.1.6. .status.resourceRules[]
- 설명
- ResourceRule은 주체가 리소스에서 수행할 수 있는 작업 목록입니다. 목록 순서는 중요하지 않으며 중복을 포함할 수 있으며 불완전할 수 있습니다.
- 유형
-
object
- 필수 항목
-
verbs
-
속성 | 유형 | 설명 |
---|---|---|
|
| APIGroups는 리소스가 포함된 APIGroup의 이름입니다. 여러 API 그룹이 지정되면 API 그룹에서 열거된 리소스 중 하나에 대해 요청된 모든 작업이 허용됩니다. "*"는 모든 것을 의미합니다. |
|
| resourceNames는 규칙이 적용되는 선택적 이름 목록입니다. 빈 세트는 모든 것이 허용됨을 의미합니다. "*"는 모든 것을 의미합니다. |
|
| resources는 이 규칙이 적용되는 리소스 목록입니다."은 지정된 apiGroups에 있는 모든 리소스를 의미합니다. "/foo"는 지정된 apiGroups의 모든 리소스에 대한 하위 리소스 'foo'를 나타냅니다. |
|
| 동사는 다음과 같은 kubernetes 리소스 API 동사 목록입니다. get, list, watch, create, update, delete, proxy. "*"는 모두 의미합니다. |