第 2 章 ClusterRoleBinding [authorization.openshift.io/v1]
- 描述
ClusterRoleBinding 引用 ClusterRole,但不包含它。它可以引用同一命名空间或全局命名空间中的任何 ClusterRole。它通过 (用户和组)添加哪些命名空间信息(用户和组)或主题和命名空间信息。给定命名空间中的 Clusterrolebindings 仅在该命名空间中具有影响(除了在所有命名空间中具有电源的 master 命名空间除外)。
兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
- 类型
-
object
- 必填
-
subjects
-
roleRef
-
2.1. 规格
属性 | 类型 | 描述 |
---|---|---|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| groupnames 包含直接绑定到角色的所有组。只有在支持旧的客户端和服务器时,才应指定此字段。详情请查看 主题。 |
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| ||
| roleRef 只能引用当前命名空间和全局命名空间。如果无法解析 ClusterRoleRef,Authorizer 必须返回错误。由于 Policy 是单例,因此这足以找到角色。 | |
| subjects hold 对象引用来授权此规则。如果指定了 UserNames 或 GroupNames 来支持旧的客户端和服务器,则此字段将被忽略。因此,不需要向后兼容的较新的客户端应该只发送完全限定主题,并应省略 UserNames 和 GroupNames 字段。需要向后兼容的客户端可以使用此字段构建 UserNames 和 GroupNames。 | |
|
| 用户名包含直接绑定到角色的所有用户名。只有在支持旧的客户端和服务器时,才应指定此字段。详情请查看 主题。 |