15.8.10. 将 SCC 添加到用户、组或项目

在添加 SCC 到用户或组之前，您可以先使用 scc-review 选项来检查用户或组是否可以创建容器集。如需更多信息，请参阅授权主题。

SCC 不直接授予项目。相反，您要将服务帐户添加到 SCC 中，并指定 Pod 上的服务帐户名称，或者在未指定的情况下作为 default 服务帐户运行。

将 SCC 添加到用户：

$ oc adm policy add-scc-to-user <scc_name> <user_name>

将 SCC 添加到服务帐户：

$ oc adm policy add-scc-to-user <scc_name> \
    system:serviceaccount:<serviceaccount_namespace>:<serviceaccount_name>

如果您当前处于服务帐户所属的项目中，您可以使用 -z 标志，只需指定 <serviceaccount_name>。

$ oc adm policy add-scc-to-user <scc_name> -z <serviceaccount_name>

重要

强烈建议您使用 -z 标志，因为它有助于防止拼写错误，并确保只为指定的服务帐户授予访问权限。如果没有在项目中，请使用 -n 选项来指示它应用到的项目命名空间。

将 SCC 添加到组中：

$ oc adm policy add-scc-to-group <scc_name> <group_name>

将 SCC 添加到命名空间中的所有服务帐户：

$ oc adm policy add-scc-to-group <scc_name> \
    system:serviceaccounts:<serviceaccount_namespace>