액세스 제어

Red Hat Advanced Cluster Management for Kubernetes 2.5

역할 기반 액세스 제어 및 인증에 대해 알아보려면 자세한 내용을 확인하십시오.

초록

역할 기반 액세스 제어 및 인증에 대해 알아보려면 자세한 내용을 확인하십시오.

1장. 액세스 제어

액세스 제어를 수동으로 생성 및 관리해야 할 수 있습니다. Kubernetes용 Red Hat Advanced Cluster Management에 대한 인증 서비스 요구 사항을 IAM(Identity and Access Management)에 온보드 워크로드로 구성해야 합니다. 자세한 내용은 OpenShift Container Platform 설명서의 인증 이해에서 인증 이해를 참조하십시오.

역할 기반 액세스 제어 및 인증은 사용자 관련 역할 및 클러스터 자격 증명을 식별합니다. 액세스 및 자격 증명에 대한 정보는 다음 파일을 참조하십시오.

필수 액세스: 클러스터 관리자

역할 기반 액세스 제어

1.1. 역할 기반 액세스 제어

Red Hat Advanced Cluster Management for Kubernetes는 역할 기반 액세스 제어(RBAC)를 지원합니다. 역할에 따라 수행할 수 있는 작업이 결정됩니다. RBAC는 Red Hat OpenShift Container Platform과 유사하게 Kubernetes의 권한 부여 메커니즘을 기반으로 합니다. RBAC에 대한 자세한 내용은 OpenShift Container Platform 설명서의 OpenShift RBAC 개요를 참조하십시오.

참고: 사용자 역할 액세스가 불가능하면 콘솔에서 작업 버튼이 비활성화됩니다.

구성 요소에서 지원되는 RBAC에 대한 자세한 내용은 다음 섹션을 참조하십시오.

역할 개요
RBAC 구현
클러스터 라이프사이클 RBAC
애플리케이션 라이프사이클 RBAC
거버넌스 라이프사이클 RBAC
가시성 RBAC

1.1.1. 역할 개요

일부 제품 리소스는 클러스터 전체이며 일부는 네임스페이스 범위입니다. 일관된 액세스 제어를 위해 사용자에게 클러스터 역할 바인딩 및 네임스페이스 역할 바인딩을 적용해야 합니다. Kubernetes용 Red Hat Advanced Cluster Management에서 지원되는 다음 역할 정의의 표를 확인하십시오.

표 1.1. 역할 정의 테이블
Role	정의
cluster-admin	이는 OpenShift Container Platform 기본 역할입니다. `cluster-admin` 역할에 클러스터 바인딩이 있는 사용자는 모든 액세스 권한이 있는 OpenShift Container Platform 슈퍼 사용자입니다.
open-cluster-management:cluster-manager-admin	`open-cluster-management:cluster-manager-admin` 역할에 클러스터 바인딩이 있는 사용자는 모든 액세스 권한이 있는 Kubernetes용 Red Hat Advanced Cluster Management for Kubernetes 슈퍼 사용자입니다. 이 역할을 사용하면 `ManagedCluster` 리소스를 생성할 수 있습니다.
open-cluster-management:admin:<managed_cluster_name>	`open-cluster-management:admin:<managed_cluster_name> 역할에 클러스터` 바인딩이 있는 사용자는 < `managed_cluster_name` >이라는 `ManagedCluster` 리소스에 대한 관리자 액세스 권한이 있습니다. 사용자가 관리형 클러스터가 있으면 이 역할이 자동으로 생성됩니다.
open-cluster-management:view:<managed_cluster_name>	`open-cluster-management:view:<managed_cluster_name> 역할에 클러스터` 바인딩이 있는 사용자는 < `managed_cluster_name` >이라는 `ManagedCluster` 리소스에 대한 보기 액세스 권한이 있습니다.
open-cluster-management:managedclusterset:admin:<managed_clusterset_name>	`open-cluster-management:managedclusterset:admin:<managed_clusterset_name> 역할에 클러스터 바인딩이 있는 사용자는 <managed_ clusterset_ name` >이라는 `ManagedCluster` 리소스에 대한 관리자 액세스 권한이 있습니다. 또한 사용자는 `managedcluster. cluster.open-cluster-management.io` ,`clusterclaim.hive.openshift.io`,`clusterdeployment.hive.openshift.io`, 관리형 `클러스터 설정 레이블이 있는 cluster.hive.openshift.io` 및 clusterset=< `managed_clusterset_name` >에 대한 관리자 액세스 권한이 있습니다. 클러스터 세트를 사용하는 경우 역할 바인딩이 자동으로 생성됩니다. 리소스를 관리하는 방법을 알아보려면 ManagedClusterSet 생성 및 관리를 참조하십시오.
open-cluster-management:managedclusterset:view:<managed_clusterset_name>	`open-cluster-management:managedclusterset:view:<managed_clusterset_name> 역할에 클러스터` 바인딩이 있는 사용자는 <managed_clusterset_name>'이라는 `ManagedCluster` 리소스에 대한 보기 액세스 권한이 있습니다. 또한 사용자는 `managedcluster.cluster.open-cluster-management.io`,`clusterclaim.hive.openshift.io`,`clusterdeployment.hive.openshift.io`, 관리형 클러스터 세트 라벨이 있는 `cluster.hive.openshift.io` 리소스에 대한 보기 액세스 권한을 갖습니다. `cluster.open-cluster-management.io`,`clusterset=<managed_clusterset_name` > . 관리되는 클러스터 세트 리소스를 관리하는 방법에 대한 자세한 내용은 ManagedClusterSets 생성 및 관리를 참조하십시오.
open-cluster-management:subscription-admin	`open-cluster-management:subscription-admin` 역할이 있는 사용자는 여러 네임스페이스에 리소스를 배포하는 Git 서브스크립션을 생성할 수 있습니다. 리소스는 구독된 Git 리포지토리의 Kubernetes 리소스 YAML 파일에 지정됩니다. 참고: 비subscription-admin 사용자가 서브스크립션을 생성하면 리소스의 지정된 네임스페이스에 관계없이 모든 리소스가 서브스크립션 네임스페이스에 배포됩니다. 자세한 내용은 애플리케이션 라이프사이클 RBAC 섹션을 참조하십시오.
admin, edit, view	admin, edit, view는 OpenShift Container Platform 기본 역할입니다. 이러한 역할에 대한 네임스페이스 범위 바인딩이 있는 사용자는 특정 네임스페이스의 `open-cluster-management` 리소스에 액세스할 수 있는 반면, 동일한 역할에 클러스터 전체 바인딩을 사용하면 클러스터 전체에서 모든 오픈 클러스터 관리 리소스에 액세스할 수 있습니다.

중요:

모든 사용자는 OpenShift Container Platform에서 프로젝트를 생성할 수 있으므로 네임스페이스에 대한 관리자 역할 권한을 제공합니다.
사용자에게 클러스터에 대한 역할 액세스 권한이 없는 경우 클러스터 이름이 표시되지 않습니다. 클러스터 이름은 다음 기호 - 를 사용하여 표시됩니다.

1.1.2. RBAC 구현

RBAC는 콘솔 수준 및 API 수준에서 검증됩니다. 사용자 액세스 역할 권한에 따라 콘솔의 작업을 활성화하거나 비활성화할 수 있습니다. 제품의 특정 라이프사이클에 대한 RBAC에 대한 자세한 내용은 다음 섹션을 참조하십시오.

1.1.2.1. 클러스터 라이프사이클 RBAC

다음 클러스터 라이프사이클 RBAC 작업을 확인합니다.

모든 관리 클러스터를 생성하고 관리하려면 다음을 수행합니다.
- 다음 명령을 입력하여 클러스터 역할 open-cluster-management:cluster-manager-admin 에 대한 클러스터 역할 바인딩을 생성합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin
```
  이 역할은 모든 리소스 및 작업에 액세스할 수 있는 슈퍼 유저입니다. 클러스터 범위의 관리 클러스터 리소스, 관리 클러스터를 관리하는 리소스의 네임스페이스 및 이 역할이 있는 네임스페이스를 생성할 수 있습니다. 이 역할로 관리형 클러스터를 생성하는 데 사용되는 공급자 연결 및 베어 메탈 자산에 액세스할 수도 있습니다.
cluster-name 이라는 관리 클러스터를 관리하려면 다음을 수행합니다.
- 다음 명령을 입력하여 클러스터 역할 open-cluster-management:admin:<cluster-name >에 대한 클러스터 역할 바인딩을 생성합니다.
```
oc create clusterrolebinding (role-binding-name) --clusterrole=open-cluster-management:admin:<cluster-name>
```
  이 역할에는 클러스터 범위의 관리 클러스터 리소스에 대한 읽기 및 쓰기 액세스 권한이 있습니다. 이는 managedcluster 가 네임스페이스 범위 리소스가 아닌 클러스터 범위 리소스이므로 필요합니다.
- 다음 명령을 입력하여 클러스터 역할 admin 에 네임스페이스 역할 바인딩을 생성합니다.
```
oc create rolebinding <role-binding-name> -n <cluster-name> --clusterrole=admin
```
  이 역할에는 관리 클러스터의 네임스페이스에 있는 리소스에 대한 읽기 및 쓰기 권한이 있습니다.
cluster-name 이라는 관리형 클러스터를 보려면 다음을 수행합니다.
- 다음 명령을 입력하여 클러스터 역할 open-cluster-management:view:<cluster-name >에 대한 클러스터 역할 바인딩을 생성합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name>
```
  이 역할에는 클러스터 범위의 managedcluster 리소스에 대한 읽기 액세스 권한이 있습니다. 이는 managedcluster 가 네임스페이스 범위 리소스가 아닌 클러스터 범위 리소스이므로 필요합니다.
- 다음 명령을 입력하여 클러스터 역할 보기에 네임스페이스 역할 바인딩을 생성합니다.
```
oc create rolebinding <role-binding-name> -n <cluster-name> --clusterrole=view
```
  이 역할에는 관리 클러스터의 네임스페이스에 있는 리소스에 대한 읽기 전용 액세스 권한이 있습니다.
다음 명령을 입력하여 액세스할 수 있는 관리형 클러스터 목록을 확인합니다.
```
oc get managedclusters.clusterview.open-cluster-management.io
```
이 명령은 클러스터 관리자 권한이 없는 관리자와 사용자가 사용합니다.
다음 명령을 입력하여 액세스할 수 있는 관리형 클러스터 세트 목록을 확인합니다.
```
oc get managedclustersets.clusterview.open-cluster-management.io
```
이 명령은 클러스터 관리자 권한이 없는 관리자와 사용자가 사용합니다.

1.1.2.1.1. 클러스터 풀 RBAC

다음 클러스터 풀 RBAC 작업을 확인합니다.

클러스터 풀 프로비저닝 클러스터를 사용하려면 다음을 수행합니다.
- 클러스터 관리자는 그룹에 역할을 추가하여 관리형 클러스터 세트를 생성하고 역할에 관리자 권한을 부여합니다.
  - 다음 명령을 사용하여 server-foundation-clusterset 관리 클러스터에 admin 권한을 부여합니다.
    oc adm policy add-cluster-role-to-group open-cluster-management:clusterset-admin:server-foundation-clusterset server-foundation-team-admin
  - 다음 명령을 사용하여 server-foundation-clusterset 관리 클러스터에 보기 권한을 부여합니다.
    oc adm policy add-cluster-role-to-group open-cluster-management:clusterset-view:server-foundation-clusterset server-foundation-team-user
- 클러스터 풀의 네임스페이스인 server-foundation-clusterpool 을 생성합니다.
  - 다음 명령을 실행하여 server-foundation-team- admin 의 server-foundation-clusterpool 에 admin 권한을 부여합니다.
    oc adm new-project server-foundation-clusterpool oc adm policy add-role-to-group admin server-foundation-team-admin --namespace server-foundation-clusterpool
- 팀 관리자로 클러스터 세트 레이블 cluster.open-cluster-management.io/clusterset=server-foundation-clusterset 를 클러스터 풀 네임스페이스에서 ocp46-aws-clusterpool 이라는 클러스터 풀을 생성합니다.
  - server-foundation-webhook 는 클러스터 풀에 클러스터 세트 레이블이 있는지, 사용자에게 클러스터 세트를 생성할 수 있는 권한이 있는지 확인합니다.
  - server-foundation-controller 는 server-foundation-team-user 의 server-foundation-clusterpool 네임스페이스에 보기 권한을 부여합니다.
- 클러스터 풀이 생성되면 클러스터 풀이 clusterdeployment 을 생성합니다.
  - server-foundation-controller 는 server-foundation-team- admin 의 clusterdeployment 네임스페이스에 admin 권한을 부여합니다.
  - server-foundation-controller 는 server-foundation-team-user 에 대해 view 권한 clusterdeployment 네임스페이스를 부여합니다.
    참고: team-admin 및 team-user 로 clusterpool,clusterdeplyment, clusterclaim 에 대한 관리자 권한이 있습니다.

클러스터 라이프사이클에 대한 다음 콘솔 및 API RBAC 테이블을 확인합니다.

표 1.2. 클러스터 라이프사이클에 대한 콘솔 RBAC 테이블
리소스	admin	edit	view
클러스터	읽기, 업데이트, 삭제	-	read
클러스터 세트	get, update, bind, join	언급되지 않은 edit 역할	get
관리형 클러스터	읽기, 업데이트, 삭제	언급된 편집 역할 없음	get
공급자 연결	생성, 읽기, 업데이트 및 삭제	-	read
베어 메탈 자산	만들기, 읽기, 업데이트, 삭제	-	read

표 1.3. 클러스터 라이프사이클에 대한 API RBAC 테이블
API	admin	edit	view
managedclusters.cluster.open-cluster-management.io 이 API의 명령에 `mcl` (singular) 또는 `mcls` (plural)를 사용할 수 있습니다.	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
managedclusters.view.open-cluster-management.io 이 API의 명령에 `mcv` (singular) 또는 `mc` v(plural)를 사용할 수 있습니다.	read	read	read
managedclusters.register.open-cluster-management.io/accept	업데이트	업데이트
managedclusterset.cluster.open-cluster-management.io 이 API의 명령에 `mclset` (singular) 또는 `mclsets` (plural)를 사용할 수 있습니다.	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
managedclustersets.view.open-cluster-management.io	read	read	read
managedclustersetbinding.cluster.open-cluster-management.io 이 API에 대한 명령에 `mclsetbinding` (singular) 또는 `mclsetbindings` (plural)를 사용할 수 있습니다.	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
baremetalassets.inventory.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
klusterletaddonconfigs.agent.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
managedclusteractions.action.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
managedclusterviews.view.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
managedclusterinfos.internal.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
manifestworks.work.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
submarinerconfigs.submarineraddon.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
placements.cluster.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read

1.1.2.2. 인증 정보 역할 기반 액세스 제어

자격 증명에 대한 액세스는 Kubernetes에서 제어합니다. 인증 정보는 Kubernetes 시크릿으로 저장되고 보호됩니다. 다음 권한은 Red Hat Advanced Cluster Management for Kubernetes에서 시크릿에 액세스하는 데 적용됩니다.

네임스페이스에서 보안을 생성할 수 있는 액세스 권한이 있는 사용자는 인증 정보를 생성할 수 있습니다.
네임스페이스의 읽기 보안에 액세스할 수 있는 사용자는 인증 정보를 볼 수도 있습니다.
admin 및 edit 의 Kubernetes 클러스터 역할이 있는 사용자는 시크릿을 생성하고 편집할 수 있습니다.
Kubernetes 클러스터 역할이 있는 사용자는 시크릿 내용을 읽고 서비스 계정 자격 증명에 액세스할 수 있으므로 시크릿을 볼 수 없습니다.

1.1.2.3. 애플리케이션 라이프사이클 RBAC

애플리케이션을 생성하면 서브스크립션 네임스페이스가 생성되고 서브스크립션 네임스페이스에 구성 맵이 생성됩니다. channel 네임스페이스에도 액세스할 수 있어야 합니다. 서브스크립션을 적용하려면 서브스크립션 관리자여야 합니다. 애플리케이션 관리에 대한 자세한 내용은 서브스크립션 관리자로 허용 및 거부 목록 생성을 참조하십시오.

다음 애플리케이션 라이프사이클 RBAC 작업을 확인합니다.

username 이라는 사용자를 사용하여 모든 관리 클러스터에서 애플리케이션을 생성하고 관리하려면 다음을 수행합니다.
- open-cluster-management:cluster-manager-admin 클러스터 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름에 바인딩하고 다음 명령을 실행합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>
```
  이 역할은 모든 리소스 및 작업에 액세스할 수 있는 슈퍼 유저입니다. 이 역할이 있는 네임스페이스에 애플리케이션 네임스페이스 및 모든 애플리케이션 리소스를 생성할 수 있습니다.
옵션: 여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성할 수 있습니다.
- open-cluster-management:subscription-admin 클러스터 역할에 대한 클러스터 역할 바인딩을 생성하여 username 이라는 사용자에게 바인딩합니다. 다음 명령을 실행합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
```
사용자 이름으로 cluster-name 관리 클러스터에서 application-name 이라는 애플리케이션을 생성하고 관리하려면 다음을 수행합니다.
- open-cluster-management:admin: cluster 역할에 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
```
  이 역할에는 관리형 클러스터의 cluster-name 의 모든 애플리케이션 리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.
- admin 역할을 사용하여 애플리케이션 네임스페이스에 네임스페이스 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩합니다.
```
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>
```
  이 역할에는 애플리케이션 namspace의 모든 애플리케이션 리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 애플리케이션에 대한 액세스가 필요하거나 애플리케이션이 여러 네임스페이스에 배포된 경우 이 작업을 반복합니다.
옵션: 여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성할 수 있습니다.
- open-cluster-management:subscription-admin 클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
```
username 이라는 사용자로 cluster-name 이라는 관리형 클러스터에서 애플리케이션을 보려면 다음을 수행합니다.
- open-cluster-management:view: cluster 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여 사용자 이름에 바인딩합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
```
  이 역할에는 관리형 클러스터의 cluster-name 의 모든 애플리케이션 리소스에 대한 읽기 액세스 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.
- view 역할을 사용하여 애플리케이션 네임스페이스에 네임스페이스 역할 바인딩을 생성하고 사용자 이름 에 바인딩합니다. 다음 명령을 실행합니다.
```
oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>
```
  이 역할에는 애플리케이션 namspace의 모든 애플리케이션 리소스에 대한 읽기 액세스 권한이 있습니다. 다른 애플리케이션에 대한 액세스가 필요한 경우 이 단계를 반복합니다.

애플리케이션 라이프사이클에 대한 다음 콘솔 및 API RBAC 표를 확인합니다.

표 1.4. 애플리케이션 라이프사이클을 위한 콘솔 RBAC 테이블
리소스	admin	edit	view
애플리케이션	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
채널	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
서브스크립션	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
배치 규칙	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read

표 1.5. 애플리케이션 라이프사이클을 위한 API RBAC 테이블
API	admin	edit	view
applications.app.k8s.io	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
channels.apps.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
deployables.apps.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
helmreleases.apps.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
placementrules.apps.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
subscriptions.apps.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
configmaps	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
secrets	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read
네임스페이스	만들기, 읽기, 업데이트, 삭제	만들기, 읽기, 업데이트, 삭제	read

1.1.2.4. 거버넌스 라이프사이클 RBAC

정책이 생성되면 클러스터에 정책이 생성됩니다. 거버넌스 라이프사이클의 역할은 네임스페이스 범위입니다. 또한 사용자는 관리 클러스터에 액세스할 수 있어야 합니다.

거버넌스 라이프사이클 작업을 수행하려면 정책이 생성된 네임스페이스에 대한 액세스와 정책이 적용되는 관리 클러스터에 대한 액세스 권한이 있어야 합니다.

다음 예제를 참조하십시오.

정책 네임스페이스에서 정책을 생성하고 cluster-name 이라는 관리형 클러스터에 적용하려면 다음을 수행합니다.
- open-cluster-management:admin: 역할을 사용하여 정책 네임스페이스에 네임스페이스 역할 바인딩을 생성합니다. 다음 명령을 실행합니다.
```
oc create rolebinding <role-binding-name> -n <policy-namespace> --clusterrole=admin --user=<username>
```
관리형 클러스터에서 정책을 보려면 다음을 수행합니다.
- open-cluster-management:admin: cluster 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 사용하여 view 역할에 바인딩합니다.
```
oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
```

거버넌스 라이프사이클은 다음 콘솔 및 API RBAC 표를 확인합니다.

표 1.6. 거버넌스 라이프사이클을 위한 콘솔 RBAC 테이블
리소스	admin	edit	view
Policies	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
PlacementBindings	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
PlacementRules	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
PolicyAutomations	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read

표 1.7. 거버넌스 라이프사이클을 위한 API RBAC 테이블
API	admin	edit	view
policies.policy.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
placementbindings.policy.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read
policyautomations.policy.open-cluster-management.io	만들기, 읽기, 업데이트, 삭제	읽기, 업데이트	read

1.1.2.5. 가시성 RBAC

관리 대상 클러스터에 대한 관찰 가능 지표를 보려면 hub 클러스터의 해당 관리 클러스터에 대한 보기 액세스 권한이 있어야 합니다. 다음 관찰 기능 목록을 확인합니다.

관리형 클러스터 메트릭에 액세스합니다.
hub 클러스터의 관리 클러스터 역할에 대한 보기 역할이 할당되지 않은 경우 사용자는 관리되는 클러스터 메트릭에 대한 액세스가 거부됩니다.
리소스를 검색합니다.

Grafana에서 관찰 가능한 데이터를 보려면 관리 클러스터의 동일한 네임스페이스에 RoleBinding 리소스가 있어야 합니다. 다음 RoleBinding 예제를 확인합니다.

kind: RoleBinding
apiVersion: rbac.authorization.k8s.io/v1
metadata:
 name: <replace-with-name-of-rolebinding>
 namespace: <replace-with-name-of-managedcluster-namespace>
subjects:
 - kind: <replace with User|Group|ServiceAccount>
   apiGroup: rbac.authorization.k8s.io
   name: <replace with name of User|Group|ServiceAccount>
roleRef:
 apiGroup: rbac.authorization.k8s.io
 kind: ClusterRole
 name: view

자세한 내용은 역할 바인딩 정책을 참조하십시오. 관찰 기능을 구성하기 위한 관찰 기능 사용자 지정을 참조하십시오.

관찰 기능 구성 요소를 관리하려면 다음 API RBAC 표를 참조하십시오.

표 1.8. 관찰을 위한 API RBAC 테이블
API	admin	edit	view
multiclusterobservabilities.observability.open-cluster-management.io	생성, 읽기, 업데이트 및 삭제	읽기, 업데이트	read
searchcustomizations.search.open-cluster-management.io	생성, 가져오기, 목록, 감시, 업데이트, 삭제, 패치	-	-
policyreports.wgpolicyk8s.io	get, list, watch	get, list, watch	get, list, watch

클러스터 보안에 대한 자세한 내용은 위험 및 규정 준수 를 참조하십시오.

법적 공지

The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.

Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.

Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.

Linux® is the registered trademark of Linus Torvalds in the United States and other countries.

Java® is a registered trademark of Oracle and/or its affiliates.

XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.

MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.

Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.

The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.

All other trademarks are the property of their respective owners.

액세스 제어

역할 기반 액세스 제어 및 인증에 대해 알아보려면 자세한 내용을 확인하십시오.

1장. 액세스 제어

1.1. 역할 기반 액세스 제어

1.1.1. 역할 개요

1.1.2. RBAC 구현

1.1.2.1. 클러스터 라이프사이클 RBAC

1.1.2.1.1. 클러스터 풀 RBAC

1.1.2.2. 인증 정보 역할 기반 액세스 제어

1.1.2.3. 애플리케이션 라이프사이클 RBAC

1.1.2.4. 거버넌스 라이프사이클 RBAC

1.1.2.5. 가시성 RBAC

법적 공지

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat 소개

Red Hat legal and privacy links

Red Hat legal and privacy links