2.5.13. 管理 IAM 策略
应用 IAM 策略来检查受管集群中所允许的集群管理员数量。在以下部分中了解如何创建、应用、查看和更新您的 IAM 策略。
2.5.13.1. 创建 IAM 策略
您可以使用命令行界面 (CLI) 或者从控制台为 IAM 策略创建 YAML 文件。
2.5.13.1.1. 通过 CLI 创建 IAM 策略
完成以下步骤,通过 CLI 创建 IAM 策略:
使用 IAM 策略定义创建 YAML 文件。运行以下命令:
kubectl create -f iam-policy-1.yaml
您的 IAM 策略可能类似以下 YAML 文件:
apiVersion: policy.open-cluster-management.io/v1 kind: IamPolicy metadata: name: iam-grc-policy label: category: "System-Integrity" spec: namespaceSelector: include: ["default","kube-*"] exclude: ["kube-system"] remediationAction: inform disabled: false maxClusterRoleBindingUsers: 5运行以下命令来应用策略:
kubectl apply -f <iam-policy-file-name> --namespace=<namespace>
运行以下命令,验证并列出策略:
kubectl get <iam-policy-file-name> --namespace=<namespace>
您的 IAM 策略已创建。
2.5.13.1.1.1. 通过 CLI 查看您的 IAM 策略
完成以下步骤以查看您的 IAM 策略:
运行以下命令,查看具体 IAM 策略的详情:
kubectl get iampolicy <policy-name> -n <namespace> -o yaml
运行以下命令,查看您的 IAM 策略的描述:
kubectl describe iampolicy <name> -n <namespace>
2.5.13.1.2. 从控制台创建 IAM 策略
从控制台创建 IAM 策略时,也会在 YAML 编辑器中创建 YAML 文件。完成以下步骤,从控制台创建 IAM 策略:
- 从控制台登录到集群。
- 在导航菜单中点击 Govern risk。
- 点击 Create policy。
- 从 Specifications 字段中选择 IamPolicy。选择策略时会自动设置其余参数的值。您可以编辑值。
- 点击 Create。
已创建一个 IAM 策略。
2.5.13.1.2.1. 从控制台查看您的 IAM 策略
您可以在控制台中查看任何 IAM 策略及其状态。
- 从控制台登录到集群。
在导航菜单中点击 Govern risk 来查看您的策略的表列表。
注:您可以通过选择 Policies 标签页或 Cluster violations 标签页来过滤策略列表。
- 选择一个策略来查看更多详情。
- 选择 Status 选项卡来查看 IAM 策略违反情况。
