第 9 章 授权 API
9.1. 授权 API
9.1.1. LocalSubjectAccessReview [authorization.k8s.io/v1]
- 描述
- LocalSubjectAccessReview 检查用户或组是否可以在给定命名空间中执行操作。使用命名空间范围资源可以更容易授予包含权限检查的命名空间范围策略。
- 类型
-
对象
9.1.2. SelfSubjectAccessReview [authorization.k8s.io/v1]
- 描述
- SelfSubjectAccessReview 检查当前用户可以执行操作。不填写 spec.namespace 表示"在所有命名空间中"。自助是一个特殊情况,因为用户应始终能够检查他们是否可以执行操作
- 类型
-
对象
9.1.3. SelfSubjectRulesReview [authorization.k8s.io/v1]
- 描述
- SelfSubjectRulesReview 枚举了当前用户可以在一个命名空间内执行的操作集合。返回的操作列表可能不完整,具体取决于服务器的授权模式,以及在评估过程中遇到的任何错误。UI 使用 SelfSubjectRulesReview 来显示/隐藏操作,或者快速让最终用户有关其权限的原因。它不应该被外部系统用来驱动授权决策,因为这会产生混淆、缓存生命周期/撤销和纠正问题。SubjectAccessReview 和 LocalAccessReview 是将授权决策延迟到 API 服务器的正确方法。
- 类型
-
对象
9.1.4. SubjectAccessReview [authorization.k8s.io/v1]
- 描述
- SubjectAccessReview 检查用户或组是否可以执行操作。
- 类型
-
对象