1.3. 关于 OpenShift Container Platform 中的授权
授权涉及确定用户是否有权限来执行请求的操作。
管理员可以定义权限,并使用 RBAC 对象(如规则、角色和绑定)将它们分配给用户。要了解授权在 OpenShift Container Platform 中的工作方式,请参阅评估授权。
您还可以通过项目和命名空间来控制对 OpenShift Container Platform 集群的访问。
除了控制用户对集群的访问外,您还可以控制 Pod 可以执行的操作,以及它可使用 安全性上下文约束(SCC) 访问的资源。
您可以通过以下任务管理 OpenShift Container Platform 的授权:
- 查看 本地和集群 角色和绑定.
- 创建 本地角色 并将其分配给用户或组。
- 创建集群角色并将其分配给用户或组:OpenShift Container Platform 包括了一组默认的集群角色。您可以创建额外的 集群角色,并将它们添加到用户或组中。
创建 cluster-admin 用户:默认情况下,您的集群只有一个集群管理员,名为
kubeadmin。您可以创建另一个集群管理员。在创建集群管理员前,请确定您配置了身份提供程序。注意在创建了 cluster admin 用户后,删除现有的 kubeadmin 用户 来提高集群安全性。
- 创建服务帐户: 服务帐户 为控制 API 访问提供了灵活的方式,而无需共享常规用户的凭证。用户可以在应用程序中创建并使用一个服务账户,也可以作为一个 OAuth 客户端。
- 有范围令牌:有范围令牌是一种令牌,指定只能执行特定操作的特定用户。您可以创建有范围令牌,将某些权限委派给其他用户或服务帐户。
- 同步 LDAP 组: 您可以通过将 存储在 LDAP 服务器中的组与 OpenShift Container Platform 用户组同步,以从一个单一的地方管理用户组。
