第 3 章 ClusterRole [rbac.authorization.k8s.io/v1]
- 描述
- ClusterRole 是一个集群级别,PolicyRules 的逻辑分组,可由 RoleBinding 或 ClusterRoleBinding 作为单元引用。
- 类型
-
对象
3.1. 规格
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| AggregationRule 描述了如何定位 ClusterRole 以聚合到 ClusterRole |
|
|
| APIVersion 定义对象的这个表示法的版本化的 schema。服务器应该将识别的模式转换为最新的内部值,并可拒绝未识别的值。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
|
|
| kind 是一个字符串值,代表此对象所代表的 REST 资源。服务器可以从客户端向其提交请求的端点推断。无法更新。采用驼峰拼写法 (CamelCase)。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
|
| 标准对象元数据。 | |
|
|
| 规则包含此 ClusterRole 的所有 PolicyRules |
|
|
| PolicyRule 包含描述策略规则的信息,但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。 |
3.1.1. .aggregationRule
- 描述
- AggregationRule 描述了如何定位 ClusterRole 以聚合到 ClusterRole
- 类型
-
object
| 属性 | 类型 | 描述 |
|---|---|---|
|
| ClusterRoleSelectors 包含用来查找 ClusterRole 并创建规则的选择器列表。如果任何选择器匹配,则会添加 ClusterRole 的权限 |
3.1.2. .rules
- 描述
- 规则包含此 ClusterRole 的所有 PolicyRules
- 类型
-
array
3.1.3. .rules[]
- 描述
- PolicyRule 包含描述策略规则的信息,但不包含有关规则应用到谁或规则应用到哪个命名空间的信息。
- 类型
-
object - 必填
-
verbs
-
| 属性 | 类型 | 描述 |
|---|---|---|
|
|
| APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组,则允许针对任何 API 组中的一个枚举资源请求的任何操作。"" 代表核心 API 组,"*"代表所有 API 组。 |
|
|
| NonResourceURLs 是一组用户应该有权访问的部分 url。OpenShift 被允许,但只作为完整的、最终的步骤在路径 Since 非资源 URL 中不是命名空间,此字段仅适用于从 ClusterRoleBinding 引用的 ClusterRole。规则可以应用到 API 资源(如 "pods" 或 "secrets")或非资源 URL 路径(如 "/api"),但不能同时应用这两个资源。 |
|
|
| resourceNames 是一个可选的规则应用到的名称白名单。空集表示所有都会被允许。 |
|
|
| resources 是此规则应用到的资源列表。'*' 代表所有资源。 |
|
|
| verbs 是一个 Verbs 列表,适用于此规则中包含的 all ResourceKinds。'*' 代表所有操作动词。 |
