1.2. OpenShift Container Platform의 인증 정보
권한 부여는 식별된 사용자가 요청한 작업을 수행할 수 있는 권한이 있는지 여부를 결정합니다.
관리자는 규칙, 역할, 바인딩과 같은 RBAC 개체를 사용하여 권한을 정의하고 사용자에게 할당할 수 있습니다. OpenShift Container Platform에서 인증이 작동하는 방식을 이해하려면 권한 부여 비우기를 참조하십시오.
프로젝트 및 네임스페이스 를 통해 OpenShift Container Platform 클러스터에 대한 액세스를 제어할 수도 있습니다.
클러스터에 대한 사용자 액세스 제어와 함께 포드에서 수행할 수 있는 작업과 SCC(보안 컨텍스트 제약 조건) 를 사용하여 액세스할 수 있는 리소스를 제어할 수 있습니다.
다음 작업을 통해 OpenShift Container Platform에 대한 권한을 관리할 수 있습니다.
- 로컬 및 클러스터 역할 및 바인딩 보기.
- 로컬 역할을 생성하여 사용자 또는 그룹에 할당합니다.
- 클러스터 역할을 생성하고 사용자 또는 그룹에 할당합니다. OpenShift Container Platform에는 기본 클러스터 역할 세트가 포함되어 있습니다. 추가 클러스터 역할을 생성하여 사용자 또는 그룹에 추가할 수 있습니다.
cluster-admin 사용자를 생성합니다. 기본적으로 클러스터에는
kubeadmin
이라는 클러스터 관리자가 하나만 있습니다. 다른 클러스터 관리자를 생성할 수 있습니다. 클러스터 관리자를 생성하기 전에 ID 공급자를 구성해야 합니다.참고클러스터 admin 사용자를 생성한 후 기존 kubeadmin 사용자를 삭제 하여 클러스터 보안을 개선합니다.
- 서비스 계정 생성: 서비스 계정을 사용하면 일반 사용자의 자격 증명을 공유하지 않고도 API 액세스를 유연하게 제어할 수 있습니다. 사용자는 애플리케이션에서 서비스 계정을 생성 및 사용할 수 있으며 OAuth 클라이언트로 도 사용할 수 있습니다.
- 범위 지정 토큰: 범위가 지정된 토큰은 특정 작업만 수행할 수 있는 특정 사용자로 식별되는 토큰입니다. 범위가 지정된 토큰을 생성하여 일부 권한을 다른 사용자 또는 서비스 계정에 위임할 수 있습니다.
- LDAP 그룹 동기화: LDAP 서버에 저장된 그룹을 OpenShift Container Platform 사용자 그룹과 동기화 하여 한 곳에서 사용자 그룹을 관리할 수 있습니다.