4.2.5.5.2. 对 SCC 的基于角色的访问控制
从 OpenShift Container Platform 3.11 开始,您可以将 SCC 指定为由 RBAC 处理的资源。这样,您可以将对 SCC 访问的范围限定为某一项目或整个集群。直接将用户、组或服务帐户分配给 SCC 可保留集群范围的范围。
要为角色包含对 SCC 的访问,您可以在 role 的定义中指定以下规则: .Role-Based Access to SCC
rules: - apiGroups: - security.openshift.io 1 resources: - securitycontextconstraints 2 verbs: - create - delete - deletecollection - get - list - patch - update - watch resourceNames: - myPermittingSCC 3
具有这样的规则的本地或集群角色允许以 rolebinding 或 clusterrolebinding 与其绑定的主体使用用户定义的 SCC,名为 myPermittingSCC。
注意
由于 RBAC 旨在防止升级,因此即使项目管理员也无法授予 SCC 访问权限,因为它们默认不被允许,使用 动词对 SCC 资源(包括 restricted SCC)。
