第 6 章 Role [authorization.openshift.io/v1]
- 描述
role 是 PolicyRules 的逻辑分组,可由 RoleBindings 指代为单元。
兼容性级别 1:在主发行版本中至少提供 12 个月或 3 个次版本(以更长的时间为准)。
- 类型
-
object
- 必填
-
rules
-
6.1. 规格
属性 | 类型 | 描述 |
---|---|---|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
| ||
|
| 规则包含此角色的所有 PolicyRules |
|
| PolicyRule 包含描述策略规则的信息,但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。 |
6.1.1. .rules
- 描述
- 规则包含此角色的所有 PolicyRules
- 类型
-
array
6.1.2. .rules[]
- 描述
- PolicyRule 包含描述策略规则的信息,但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。
- 类型
-
object
- 必填
-
verbs
-
resources
-
属性 | 类型 | 描述 |
---|---|---|
|
| APIGroups 是包含资源的 APIGroup 的名称。如果此字段为空,则假定为 kubernetes 和 origin API 组。这意味着,如果针对 kubernetes 或 origin API 组中的一个枚举的资源请求一个操作,则这个请求被允许 |
| AttributeRestrictions 将根据 Authorizer/AuthorizationAttributeBuilder 对支持的不同而有所不同。如果 Authorizer 无法识别如何处理 AttributeRestrictions,Authorizer 应报告错误。 | |
|
| NonResourceURLsSlice 是用户应该有权访问的一组部分 URL。* 是被允许访问的,但只在完整的情况下,路径的最后一步。这个名称有意与 internal 类型不同,因此 DefaultConvert 可以正常工作,因为排序可能会不同。 |
|
| resourceNames 是一个可选的规则应用到的名称白名单。空集表示所有都会被允许。 |
|
| resources 是一组这个规则应用到的资源列表。ResourceAll 代表所有资源。 |
|
| verbs 是一个 Verbs 列表,这些 Verbs 会应用到在此规则中包含的所有 ResourceKinds 和 AttributeRestrictions 。VerbAll 代表所有种类。 |