Details for Container Engine for Kubernetes
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf Container Engine for Kubernetes zu kontrollieren.
Ressourcentypen
Aggregierter Ressourcentyp
cluster-family
Individuelle Ressourcentypen
clusterscluster-node-poolscluster-pod-shapescluster-virtualnode-poolscluster-work-requestscluster-workload-mappings
Kommentare
Eine Policy, die <verb> cluster-family verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>-Anweisung für die einzelnen individuellen Ressourcentypen.
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in cluster-family finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Unterstützte Variablen
Container Engine for Kubernetes unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen.
Der Ressourcentyp clusters kann die folgenden Variablen verwenden:
| Variable | Variablentyp | Kommentare |
|---|---|---|
target.cluster.id
|
Entity (OCID) |
Der Ressourcentyp cluster-node-pools kann die folgenden Variablen verwenden:
| Variable | Variablentyp | Kommentare |
|---|---|---|
target.nodepool.id
|
Entity (OCID) |
Der Ressourcentyp cluster-virtual-node-pools kann die folgenden Variablen verwenden:
| Variable | Variablentyp | Kommentare |
|---|---|---|
target.virtualnodepool.id |
Entity (OCID) | |
target.cluster.id
|
Entity (OCID) |
Der Ressourcentyp cluster-workload-mappings kann die folgenden Variablen verwenden:
| Variable | Variablentyp | Kommentare |
|---|---|---|
target.clusterworkloadmapping.id |
Entity (OCID) | |
target.mapping.cluster_id
|
Entity (OCID) |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect > read > use > manage. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read für den Ressourcentyp clusters umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb inspect sowie die Berechtigung "CLUSTER_READ" und eine Reihe von API-Vorgängen (Beispiel: GetCluster usw.). Das Verb use deckt im Vergleich zu read noch eine weitere Berechtigung und einen weiteren API-Vorgang ab. Zuletzt deckt manage mehr Berechtigungen und Operationen ab als use.
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLUSTER_INSPECT |
|
kein Wert |
| read | INSPECT + CLUSTER_READ |
INSPECT +
|
kein Wert |
| use | READ + CLUSTER_USE |
READ +
|
kein Wert |
| manage | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLUSTER_NODE_POOL_INSPECT |
|
kein Wert |
| read | INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
kein Wert |
| use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
| manage | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
keine zusätzlichen |
CreateNodePool, DeleteNodePool und UpdateNodePool (benötigen auch manage instance-family, use subnets, use vnics und inspect compartments)
|
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
kein Wert |
| read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
| use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
| manage |
keine zusätzlichen |
keine zusätzlichen |
kein Wert |
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
kein Wert |
| read | INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
kein Wert |
| use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
| manage | USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
kein Wert |
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
kein Wert |
| read | INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
kein Wert |
| use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
| manage | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
kein Wert |
| Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
|---|---|---|---|
| inspect | CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
kein Wert |
| read | INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
kein Wert |
| use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
kein Wert |
| manage | USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
kein Wert |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
| API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
|---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |