主页
产品
Red Hat Advanced Cluster Management for Kubernetes
2.13
监管
4.8. 安全性上下文约束策略

4.8. 安全性上下文约束策略

Kubernetes 配置策略控制器负责监控安全性上下文约束 (SCC) 策略的状态。应用安全性上下文约束 (SCC) 策略，通过在策略中定义条件来控制 Pod 的权限。

在以下部分了解更多有关 SCC 策略的详细信息：

4.8.1. SCC 策略 YAML 结构
复制链接

apiVersion: policy.open-cluster-management.io/v1
kind: Policy
metadata:
  name:
  namespace:
  annotations:
    policy.open-cluster-management.io/standards:
    policy.open-cluster-management.io/categories:
    policy.open-cluster-management.io/controls:
    policy.open-cluster-management.io/description:
spec:
  remediationAction:
  disabled:
  policy-templates:
    - objectDefinition:
        apiVersion: policy.open-cluster-management.io/v1
        kind: ConfigurationPolicy
        metadata:
          name:
        spec:
          remediationAction:
          severity:
          namespaceSelector:
            exclude:
            include:
            matchLabels:
            matchExpressions:
          object-templates:
            - complianceType:
              objectDefinition:
                apiVersion: security.openshift.io/v1
                kind: SecurityContextConstraints
                metadata:
                  name:
                allowHostDirVolumePlugin:
                allowHostIPC:
                allowHostNetwork:
                allowHostPID:
                allowHostPorts:
                allowPrivilegeEscalation:
                allowPrivilegedContainer:
                fsGroup:
                readOnlyRootFilesystem:
                requiredDropCapabilities:
                runAsUser:
                seLinuxContext:
                supplementalGroups:
                users:
                volumes:
                ...

4.8.2. SCC 策略表
复制链接

Expand

字段	可选或必需的	描述
`apiVersion`	必填	将值设置为 `policy.open-cluster-management.io/v1`。
`kind`	必填	将值设为 `Policy` 以表示策略类型。
`metadata.name`	必填	用于标识策略资源的名称。
`metadata.namespace`	必填	策略的命名空间。
`spec.remediationAction`	选填	指定您的策略的修复。参数值是 `enforce` 和 `inform`。这个值是可选的，因为它会覆盖 `spec.policy-templates` 中提供的任何值。
`spec.disabled`	必填	将值设为 `true` 或 `false`。`disabled` 参数提供启用和禁用策略的功能。
`spec.policy-templates[].objectDefinition`	必填	用于列出包含必须接受评估或应用到受管集群的 Kubernetes 对象的配置策略。

如需有关 SCC 策略内容的解释，请参阅 OpenShift Container Platform 文档中的管理安全性上下文约束。

4.8.3. SCC 策略示例
复制链接

应用安全性上下文约束 (SCC) 策略，通过在策略中定义条件来控制 Pod 的权限。如需更多信息，请参阅管理安全性上下文约束。

请参阅 policy-scc.yaml 查看策略示例。有关策略 YAML 结构和其他字段的完整描述，请参阅 Hub 集群策略框架文档。请参阅 Kubernetes 配置策略控制器文档，以了解其他配置策略。

4.8. 安全性上下文约束策略

4.8.1. SCC 策略 YAML 结构
复制链接

4.8.2. SCC 策略表
复制链接

4.8.3. SCC 策略示例
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.8. 安全性上下文约束策略

4.8.1. SCC 策略 YAML 结构复制链接链接已复制到粘贴板!

4.8.2. SCC 策略表复制链接链接已复制到粘贴板!

4.8.3. SCC 策略示例复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

4.8.1. SCC 策略 YAML 结构
复制链接

4.8.2. SCC 策略表
复制链接

4.8.3. SCC 策略示例
复制链接