1.2. 关于 OpenShift Container Platform 中的授权

授权涉及确定用户是否有权限来执行请求的操作。

管理员可以定义权限，并使用 RBAC 对象（如规则、角色和绑定）将它们分配给用户。要了解授权在 OpenShift Container Platform 中的工作方式，请参阅评估授权。

您还可以通过项目和命名空间来控制对 OpenShift Container Platform 集群的访问。

除了控制用户对集群的访问外，您还可以控制 Pod 可以执行的操作，以及它可使用安全性上下文约束(SCC) 访问的资源。

您可以通过以下任务管理 OpenShift Container Platform 的授权：

查看本地和集群角色和绑定.
创建本地角色并将其分配给用户或组。
创建集群角色并将其分配给用户或组：OpenShift Container Platform 包括了一组默认的集群角色。您可以创建额外的集群角色，并将它们添加到用户或组中。
创建 cluster-admin 用户：默认情况下，您的集群只有一个集群管理员，名为 kubeadmin。您可以创建另一个集群管理员。在创建集群管理员前，请确定您配置了身份提供程序。
注意
在创建了 cluster admin 用户后，删除现有的 kubeadmin 用户来提高集群安全性。
创建服务帐户：服务帐户为控制 API 访问提供了灵活的方式，而无需共享常规用户的凭证。用户可以在应用中创建并使用服务帐户，也可以作为 OAuth 客户端。
界定令牌范围：有作用域令牌是一个令牌，标识为只能执行特定操作的特定用户。您可以创建作用域令牌，将某些权限委派给其他用户或服务帐户。
同步 LDAP 组：您可以通过将存储在 LDAP 服务器中的组与 OpenShift Container Platform 用户组同步。

返回顶部