2.8. 撤销管理员特权和用户访问权限
您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI rosa
从用户撤销 cluster-admin
或 dedicated-admin
权限。
要从用户撤销集群访问,您必须从配置的身份提供程序中删除该用户。
按照本节中的步骤从用户撤销管理员权限或集群访问。
2.8.1. 从用户撤销管理员权限
按照本节中的步骤从用户撤销 cluster-admin
或 dedicated-admin
权限。
前提条件
-
在您的工作站上安装和配置了最新的 Red Hat OpenShift Service on AWS (ROSA) CLI
rosa
。 -
您可以使用 ROSA CLI (
rosa
)登录到您的红帽帐户。 - 您创建了 ROSA 集群。
- 您已为集群配置了 GitHub 身份提供程序,并添加了身份提供程序用户。
-
为用户授予了
cluster-admin
或dedicated-admin
权限。
流程
从身份提供程序用户撤销
cluster-admin
权限:撤销
cluster-admin
权限:$ rosa revoke user cluster-admin --user=<idp_user_name> --cluster=<cluster_name> 1
- 1
- 使用身份提供程序用户和集群名称替换
<idp_user_name>
和<cluster_name>
。
输出示例
? Are you sure you want to revoke role cluster-admins from user <idp_user_name> in cluster <cluster_name>? Yes I: Revoked role 'cluster-admins' from user '<idp_user_name>' on cluster '<cluster_name>'
验证该用户没有列为
cluster-admins
组的成员:$ rosa list users --cluster=<cluster_name>
输出示例
W: There are no users configured for cluster '<cluster_name>'
从身份提供程序用户撤销
dedicated-admin
权限:撤销
dedicated-admin
权限:$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
输出示例
? Are you sure you want to revoke role dedicated-admins from user <idp_user_name> in cluster <cluster_name>? Yes I: Revoked role 'dedicated-admins' from user '<idp_user_name>' on cluster '<cluster_name>'
验证该用户没有列为
dedicated-admins
组的成员:$ rosa list users --cluster=<cluster_name>
输出示例
W: There are no users configured for cluster '<cluster_name>'
2.8.2. 撤销对集群的用户访问权限
您可以将身份提供程序用户从配置的身份提供程序中删除来撤销集群访问权限。
您可以为 ROSA 集群配置不同类型的身份提供程序。以下示例流程为为集群配置身份的 GitHub 组织的成员撤销集群访问权限。
前提条件
- 您有一个 ROSA 集群。
- 您有一个 GitHub 用户帐户。
- 您已为集群配置了 GitHub 身份提供程序,并添加了身份提供程序用户。
流程
- 进入 github.com 并登录到您的 GitHub 帐户。
- 从 GitHub 组织中删除该用户。按照 GitHub 文档中的从您的机构中删除成员的步骤进行操作。