Oracle Cloud Infrastructureドキュメント

Container Engine for Kubernetesの詳細

このトピックでは、Container Engine for Kubernetesへのアクセスを制御するポリシーを記述するための詳細について説明します。

Resource-Types

集約リソース・タイプ

  • cluster-family

個別のリソース・タイプ

  • clusters
  • cluster-node-pools
  • cluster-work-requests

コメント

<verb> cluster-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用してポリシーを作成するのと同じです。

cluster-familyに含まれている個々のリソース・タイプごとに、各動詞で扱うAPI操作の詳細を調べるには、「動詞+リソース・タイプの組み合わせの詳細」の表を参照してください。

サポートされる変数

Container Engine for Kubernetesは、すべての一般変数(「すべてのリクエストの一般変数」を参照)に加えて、ここにリストされているものをサポートしています。

clustersリソース・タイプでは、次の変数を使用できます:

変数 変数タイプ コメント
target.cluster.id エンティティ(OCID)  

 

cluster-node-poolsリソース・タイプでは、次の変数を使用できます:

変数 変数タイプ コメント
target.nodepool.id エンティティ(OCID)  

動詞+リソース・タイプの組み合わせの詳細

次の表は、各動詞が扱うpermissionsおよびAPI操作を示しています。 アクセス・レベルは、inspect> read> use> manageから行くにつれて累積されます。 表セルのプラス記号(+)は、そのすぐ上のセルと比較してインクリメンタル・アクセスを示しますが、no extraはインクリメンタル・アクセスを示していません。

たとえば、clustersリソース・タイプのread verbには、inspect verbと同じ許可およびAPI操作、さらにCLUSTER_READ許可および多数のAPI操作(たとえば、GetClusterなど)が含まれています。 use動詞は、readと比較して、さらに別のアクセス許可とAPI操作をカバーしています。 最後に、manageは、useと比較してより多くのアクセス権と操作をカバーします。

クラスタ
cluster-node-pools
cluster-work-requests

各API操作に必要なアクセス許可

次の表は、API操作をリソースのタイプ別にグループ化した論理的な順序で示しています。 権限については、「アクセス許可」を参照してください。

API操作 操作を使用するために必要な権限
ListClusters CLUSTER_INSPECT
CreateCluster CLUSTER_CREATE
GetClusterKubeconfig CLUSTER_USE
GetCluster CLUSTER_READ
UpdateCluster CLUSTER_UPDATE
DeleteCluster CLUSTER_DELETE
AdministerK8s CLUSTER_MANAGE
ListNodePools CLUSTER_NODE_POOL_INSPECT
CreateNodePool CLUSTER_NODE_POOL_CREATE
GetNodePool CLUSTER_NODE_POOL_READ
UpdateNodePool CLUSTER_NODE_POOL_UPDATE
DeleteNodePool CLUSTER_NODE_POOL_DELETE
ListWorkRequests CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT
GetWorkRequest CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ
ListWorkRequestErrors CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ
ListWorkRequestLogs CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ
DeleteWorkRequest CLUSTER_WORK_REQUEST_DELETE