Details for Container Engine for Kubernetes
In diesem Thema werden Details zum Schreiben von Policys beschrieben, um den Zugriff auf Container Engine for Kubernetes zu kontrollieren.
Ressourcentypen
Aggregierter Ressourcentyp
cluster-family
Individuelle Ressourcentypen
clusters
cluster-node-pools
cluster-pod-shapes
cluster-virtualnode-pools
cluster-work-requests
cluster-workload-mappings
Kommentare
Eine Policy, die <verb> cluster-family
verwendet, entspricht dem Schreiben einer Policy mit einer separaten <verb> <individual resource-type>
-Anweisung für die einzelnen individuellen Ressourcentypen.
Details zu den von den einzelnen Verben abgedeckten API-Vorgängen für jeden Ressourcentyp in cluster-family
finden Sie in der Tabelle unter Details für Kombinationen aus Verb + Ressourcentyp.
Unterstützte Variablen
Container Engine for Kubernetes unterstützt alle allgemeinen Variablen (siehe Allgemeine Variablen für alle Anforderungen) sowie die hier aufgelisteten Variablen.
Der Ressourcentyp clusters
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.cluster.id
|
Entity (OCID) |
Der Ressourcentyp cluster-node-pools
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.nodepool.id
|
Entity (OCID) |
Der Ressourcentyp cluster-virtual-node-pools
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.virtualnodepool.id |
Entity (OCID) | |
target.cluster.id
|
Entity (OCID) |
Der Ressourcentyp cluster-workload-mappings
kann die folgenden Variablen verwenden:
Variable | Variablentyp | Kommentare |
---|---|---|
target.clusterworkloadmapping.id |
Entity (OCID) | |
target.mapping.cluster_id
|
Entity (OCID) |
Details für Kombinationen aus Verb + Ressourcentyp
In den folgenden Tabellen werden die Berechtigungen und API-Vorgänge angezeigt, die von jedem Verb abgedeckt werden. Die Zugriffsebene ist kumulativ: inspect
> read
> use
> manage
. Beispiel: Eine Gruppe, die eine Ressource verwenden kann, kann diese Ressource auch prüfen und lesen. Ein Pluszeichen (+) in einer Tabellenzelle gibt einen inkrementellen Zugriff im Vergleich zur direkt darüber liegenden Zelle an, während "keine zusätzlichen" keinen inkrementellen Zugriff angibt.
Beispiel: Das Verb read
für den Ressourcentyp clusters
umfasst dieselben Berechtigungen und API-Vorgänge wie das Verb inspect
sowie die Berechtigung "CLUSTER_READ" und eine Reihe von API-Vorgängen (Beispiel: GetCluster
usw.). Das Verb use
deckt im Vergleich zu read
noch eine weitere Berechtigung und einen weiteren API-Vorgang ab. Zuletzt deckt manage
mehr Berechtigungen und Operationen ab als use
.
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CLUSTER_INSPECT |
|
kein Wert |
read | INSPECT + CLUSTER_READ |
INSPECT +
|
kein Wert |
use | READ + CLUSTER_USE |
READ +
|
kein Wert |
manage | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CLUSTER_NODE_POOL_INSPECT |
|
kein Wert |
read | INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
keine zusätzlichen |
CreateNodePool , DeleteNodePool und UpdateNodePool (benötigen auch manage instance-family , use subnets , use vnics und inspect compartments )
|
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
kein Wert |
read | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage |
keine zusätzlichen |
keine zusätzlichen |
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
kein Wert |
read | INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
kein Wert |
read | INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
kein Wert |
use | keine zusätzlichen |
keine zusätzlichen |
kein Wert |
manage | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
kein Wert |
Verben | Berechtigungen | Vollständig abgedeckte APIs | Teilweise abgedeckte APIs |
---|---|---|---|
inspect | CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
kein Wert |
read | INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
kein Wert |
use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
kein Wert |
manage | USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
kein Wert |
Für jeden API-Vorgang erforderliche Berechtigungen
In der folgenden Tabelle werden die API-Vorgänge in einer logischen Reihenfolge nach Ressourcentyp gruppiert aufgeführt. Informationen zu Berechtigungen finden Sie unter Berechtigungen.
API-Vorgang | Erforderliche Berechtigungen für den Vorgang |
---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |