主页
产品
OpenShift Container Platform
3.11
架构
4.2.5.5.2. 对 SCC 的基于角色的访问控制

4.2.5.5.2. 对 SCC 的基于角色的访问控制

从 OpenShift Container Platform 3.11 开始，您可以将 SCC 指定为由 RBAC 处理的资源。这样，您可以将对 SCC 访问的范围限定为某一项目或整个集群。直接将用户、组或服务帐户分配给 SCC 可保留集群范围的范围。

要为角色包含对 SCC 的访问，您可以在 role 的定义中指定以下规则： .Role-Based Access to SCC

rules:
- apiGroups:
  - security.openshift.io 
  resources:
  - securitycontextconstraints 
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch
  resourceNames:
  - myPermittingSCC

rules:
- apiGroups:
  - security.openshift.io


  resources:
  - securitycontextconstraints


  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch
  resourceNames:
  - myPermittingSCC

Copy to Clipboard

Toggle word wrap

1: 包含 Securitycontextconstraints 资源的 API 组
2: 允许用户在 resourceNames 字段中指定 SCC 名称的资源组名称
3: 您要授予访问权限的 SCC 的示例名称

具有这样的规则的本地或集群角色允许以 rolebinding 或 clusterrolebinding 与其绑定的主体使用用户定义的 SCC，名为 myPermittingSCC。

注意

由于 RBAC 旨在防止升级，因此即使项目管理员也无法授予 SCC 访问权限，因为它们默认不被允许，使用动词对 SCC 资源（包括 restricted SCC）。

返回顶部

4.2.5.5.2. 对 SCC 的基于角色的访问控制

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links