액세스 제어
역할 기반 액세스 제어 및 인증에 대해 알아보려면 자세한 내용을 확인하십시오.
초록
1장. 액세스 제어
액세스 제어를 수동으로 생성 및 관리해야 할 수 있습니다. Kubernetes용 Red Hat Advanced Cluster Management에 대한 인증 서비스 요구 사항을 IAM(Identity and Access Management)에 온보드 워크로드로 구성해야 합니다. 자세한 내용은 OpenShift Container Platform 설명서의 인증 이해에서 인증 이해를 참조하십시오.
역할 기반 액세스 제어 및 인증은 사용자 관련 역할 및 클러스터 자격 증명을 식별합니다. 액세스 및 자격 증명에 대한 정보는 다음 파일을 참조하십시오.
필수 액세스 권한: 클러스터 관리자
1.1. 역할 기반 액세스 제어
Red Hat Advanced Cluster Management for Kubernetes는 역할 기반 액세스 제어(RBAC)를 지원합니다. 역할에 따라 수행할 수 있는 작업이 결정됩니다. RBAC는 Red Hat OpenShift Container Platform과 유사하게 Kubernetes의 권한 부여 메커니즘을 기반으로 합니다. RBAC에 대한 자세한 내용은 OpenShift Container Platform 설명서의 OpenShift RBAC 개요를 참조하십시오.
참고: 사용자 역할 액세스가 불가능하면 콘솔에서 작업 버튼이 비활성화됩니다.
1.1.1. 역할 개요
일부 제품 리소스는 클러스터 전체이며 일부는 네임스페이스 범위입니다. 일관된 액세스 제어를 위해 사용자에게 클러스터 역할 바인딩 및 네임스페이스 역할 바인딩을 적용해야 합니다. Kubernetes용 Red Hat Advanced Cluster Management에서 지원되는 다음 역할 정의의 표를 확인하십시오.
| Role | 정의 |
|
|
이는 OpenShift Container Platform 기본 역할입니다. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| admin, edit, view |
admin, edit, view는 OpenShift Container Platform 기본 역할입니다. 이러한 역할에 대한 네임스페이스 범위 바인딩이 있는 사용자는 특정 네임스페이스의 |
|
|
|
중요:
- 모든 사용자는 OpenShift Container Platform에서 프로젝트를 생성할 수 있으므로 네임스페이스에 대한 관리자 역할 권한을 제공합니다.
-
사용자에게 클러스터에 대한 역할 액세스 권한이 없는 경우 클러스터 이름이 표시되지 않습니다. 클러스터 이름은 다음과 같은 기호를 사용하여 표시할 수 있습니다.
-.
자세한 내용은 역할 기반 액세스 제어를 참조하십시오.
1.2. 역할 기반 액세스 제어 구현
Kubernetes RBAC용 Red Hat Advanced Cluster Management는 콘솔 수준 및 API 수준에서 검증됩니다. 사용자 액세스 역할 권한에 따라 콘솔의 작업을 활성화하거나 비활성화할 수 있습니다.
멀티 클러스터 엔진 Operator는 Red Hat Advanced Cluster Management의 전제 조건 및 클러스터 라이프사이클 기능입니다. 다중 클러스터 엔진 Operator를 사용하여 클러스터의 RBAC를 관리하려면 Kubernetes Operator 역할 기반 액세스 제어 설명서의 클러스터 라이프사이클 다중 클러스터 엔진 의 RBAC 지침을 사용합니다.
Red Hat Advanced Cluster Management의 특정 라이프 사이클에 대한 RBAC에 대한 자세한 내용은 다음 섹션을 참조하십시오.
1.2.1. 애플리케이션 라이프사이클 RBAC
애플리케이션을 생성하면 서브스크립션 네임스페이스가 생성되고 서브스크립션 네임스페이스에 구성 맵이 생성됩니다. channel 네임스페이스에도 액세스할 수 있어야 합니다. 서브스크립션을 적용하려면 서브스크립션 관리자여야 합니다. 애플리케이션 관리에 대한 자세한 내용은 서브스크립션 관리자로 허용 및 거부 목록 생성을 참조하십시오.
다음 애플리케이션 라이프사이클 RBAC 작업을 확인합니다.
username이라는 사용자를 사용하여 모든 관리 클러스터에서 애플리케이션을 생성하고 관리합니다. 클러스터 역할 바인딩을 생성하고 사용자 이름에 바인딩해야합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:cluster-manager-admin --user=<username>
이 역할은 모든 리소스 및 작업에 액세스할 수 있는 슈퍼 유저입니다. 이 역할이 있는 네임스페이스에 애플리케이션 네임스페이스 및 모든 애플리케이션 리소스를 생성할 수 있습니다.
여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성합니다.
open-cluster-management:subscription-admin클러스터 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름 에게 바인딩해야합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
username사용자로cluster-name관리 클러스터에서application-name이라는 애플리케이션을 생성하고 관리합니다.open-cluster-management:admin:클러스터 역할에 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여사용자이름에 바인딩해야 합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:admin:<cluster-name> --user=<username>
이 역할에는 관리형 클러스터의
cluster-name의 모든애플리케이션리소스에 대한 읽기 및 쓰기 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.admin역할을 사용하여애플리케이션네임스페이스에 네임스페이스 역할 바인딩을 생성하고 다음 명령을입력하여 사용자이름에 바인딩합니다.oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=admin --user=<username>
이 역할에는 애플리케이션 namspace의 모든
애플리케이션리소스에 대한 읽기 및 쓰기 권한이 있습니다.다른 애플리케이션에 대한 액세스가 필요하거나 애플리케이션이 여러 네임스페이스에 배포된 경우 이 작업을 반복합니다.여러 네임스페이스에 리소스를 배포하는 애플리케이션을 생성할 수 있습니다.
open-cluster-management:subscription-admin클러스터 역할에 대한 클러스터 역할 바인딩을 생성하고 다음 명령을 입력하여사용자이름에 바인딩합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:subscription-admin --user=<username>
사용자 이름이
usernamecluster-name이라는 관리 클러스터에서 애플리케이션을 보려면open-cluster-management:view:cluster 역할에 클러스터 역할 바인딩을 생성하고 사용자 이름 에 바인딩합니다. 다음 명령을 실행합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
이 역할에는 관리형 클러스터의
cluster-name의 모든애플리케이션리소스에 대한 읽기 액세스 권한이 있습니다. 다른 관리 클러스터에 대한 액세스가 필요한 경우 이 단계를 반복합니다.view역할을 사용하여애플리케이션네임스페이스에 네임스페이스 역할 바인딩을 생성하고사용자 이름에 바인딩합니다. 다음 명령을 실행합니다.oc create rolebinding <role-binding-name> -n <application-namespace> --clusterrole=view --user=<username>
이 역할에는 애플리케이션 namspace의 모든
애플리케이션리소스에 대한 읽기 액세스 권한이 있습니다.다른 애플리케이션에 대한 액세스가 필요한 경우 이 단계를 반복합니다.
1.2.1.1. 애플리케이션 라이프사이클을 위한 콘솔 및 API RBAC 테이블
애플리케이션 라이프사이클에 대한 다음 콘솔 및 API RBAC 표를 확인합니다.
| 리소스 | admin | edit | view |
|---|---|---|---|
| 애플리케이션 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 채널 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 서브스크립션 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| 배치 규칙 | 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
| API | admin | edit | view |
|---|---|---|---|
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 만들기, 읽기, 업데이트, 삭제 | read |
1.2.2. 거버넌스 라이프사이클 RBAC
정책이 생성되면 클러스터에 정책이 생성됩니다. 거버넌스 라이프사이클의 역할은 네임스페이스 범위입니다. 또한 사용자는 관리 클러스터에 액세스할 수 있어야 합니다.
거버넌스 라이프사이클 작업을 수행하려면 정책이 생성된 네임스페이스에 대한 액세스와 정책이 적용되는 관리 클러스터에 대한 액세스 권한이 있어야 합니다.
다음 작업을 확인합니다.
정책 네임스페이스에
정책을생성하고cluster-name이라는 관리형 클러스터에 적용하려면open-cluster-management:admin:역할을 사용하여정책네임스페이스에 네임스페이스 역할 바인딩을 생성합니다. 다음 명령을 실행합니다.oc create rolebinding <role-binding-name> -n <policy-namespace> --clusterrole=admin --user=<username>
관리형 클러스터에서 정책을 보려면
open-cluster-management:admin:cluster 역할에 클러스터 역할 바인딩을 생성하고 다음 명령을 사용하여view역할에 바인딩합니다.oc create clusterrolebinding <role-binding-name> --clusterrole=open-cluster-management:view:<cluster-name> --user=<username>
1.2.2.1. 거버넌스 라이프사이클을 위한 콘솔 및 API RBAC 테이블
거버넌스 라이프사이클은 다음 콘솔 및 API RBAC 표를 확인합니다.
| 리소스 | admin | edit | view |
|---|---|---|---|
| Policies | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
| PlacementBindings | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
| PlacementRules | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
| PolicyAutomations | 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
| API | admin | edit | view |
|---|---|---|---|
|
| 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
|
| 만들기, 읽기, 업데이트, 삭제 | 읽기, 업데이트 | read |
1.2.3. 가시성 RBAC
관리 대상 클러스터에 대한 관찰 가능 지표를 보려면 hub 클러스터의 해당 관리 클러스터에 대한 보기 액세스 권한이 있어야 합니다. 다음 관찰 기능 목록을 확인합니다.
관리형 클러스터 메트릭에 액세스합니다.
hub 클러스터의 관리 클러스터 역할에 대한
보기역할이 할당되지 않은 경우 사용자는 관리되는 클러스터 메트릭에 대한 액세스가 거부됩니다. 다음 명령을 실행하여 사용자가 관리 클러스터 네임스페이스에서managedClusterView역할을 생성할 권한이 있는지 확인합니다.oc auth can-i create ManagedClusterView -n <managedClusterName> --as=<user>
클러스터 관리자는 관리 클러스터 네임스페이스에서
managedClusterView역할을 생성합니다. 다음 명령을 실행합니다.oc create role create-managedclusterview --verb=create --resource=managedclusterviews -n <managedClusterName>
그런 다음 역할을 바인딩하여 사용자에게 적용하고 바인딩합니다. 다음 명령을 실행합니다.
oc create rolebinding user-create-managedclusterview-binding --role=create-managedclusterview --user=<user> -n <managedClusterName>
리소스를 검색합니다.
사용자가 리소스 유형에 액세스할 수 있는지 확인하려면 다음 명령을 사용합니다.
oc auth can-i list <resource-type> -n <namespace> --as=<rbac-user>
참고: &
lt;resource-type>은 복수형이어야 합니다.Grafana에서 관찰 가능한 데이터를 보려면 관리 클러스터의 동일한 네임스페이스에
RoleBinding리소스가 있어야 합니다.다음
RoleBinding예제를 확인합니다.kind: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 metadata: name: <replace-with-name-of-rolebinding> namespace: <replace-with-name-of-managedcluster-namespace> subjects: - kind: <replace with User|Group|ServiceAccount> apiGroup: rbac.authorization.k8s.io name: <replace with name of User|Group|ServiceAccount> roleRef: apiGroup: rbac.authorization.k8s.io kind: ClusterRole name: view
자세한 내용은 역할 바인딩 정책을 참조하십시오. 관찰 기능을 구성하기 위한 관찰 기능 사용자 지정을 참조하십시오.
1.2.3.1. 관찰 가능 라이프사이클을 위한 콘솔 및 API RBAC 테이블
관찰 기능 구성 요소를 관리하려면 다음 API RBAC 표를 참조하십시오.
| API | admin | edit | view |
|
| 생성, 읽기, 업데이트 및 삭제 | 읽기, 업데이트 | read |
|
| 생성, 가져오기, 목록, 감시, 업데이트, 삭제, 패치 | - | - |
|
| get, list, watch | get, list, watch | get, list, watch |
클러스터 보안에 대한 자세한 내용은 위험 및 규정 준수 를 참조하십시오.
