Informations détaillées sur le service Container Engine pour Kubernetes
Cette rubrique présente des informations détaillées sur l'écriture de politiques permettant de contrôler l'accès au service Container Engine pour Kubernetes.
Types de ressource
Type de ressource agrégé
cluster-family
Types de ressource individuels
clusterscluster-node-poolscluster-pod-shapescluster-virtualnode-poolscluster-work-requestscluster-workload-mappings
Commentaires
Une politique utilisant <verb> cluster-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource individuels.
Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans cluster-family.
Variables prises en charge
Le service Container Engine pour Kubernetes prend en charge toutes les variables générales (voir Variables générales pour toutes les demandes), plus les variables répertoriées ici.
Le type de ressource clusters peut utiliser les variables suivantes :
| Variable | Type de variable | Commentaires |
|---|---|---|
target.cluster.id
|
Entité (OCID) |
Le type de ressource cluster-node-pools peut utiliser les variables suivantes :
| Variable | Type de variable | Commentaires |
|---|---|---|
target.nodepool.id
|
Entité (OCID) |
Le type de ressource cluster-virtual-node-pools peut utiliser les variables suivantes :
| Variable | Type de variable | Commentaires |
|---|---|---|
target.virtualnodepool.id |
Entité (OCID) | |
target.cluster.id
|
Entité (OCID) |
Le type de ressource cluster-workload-mappings peut utiliser les variables suivantes :
| Variable | Type de variable | Commentaires |
|---|---|---|
target.clusterworkloadmapping.id |
Entité (OCID) | |
target.mapping.cluster_id
|
Entité (OCID) |
Informations détaillées sur les combinaisons Verbe + Type de ressource
Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.
Par exemple, le verbe read pour le type de ressource clusters inclut les mêmes autorisations et opérations d'API que le verbe inspect, plus l'autorisation CLUSTER_READ et un certain nombre d'opérations d'API (par exemple, GetCluster, etc.). Le verbe use couvre encore une autre autorisation et une autre opération d'API par rapport à read. Enfin, manage couvre d'autres autorisations et opérations par rapport à use.
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | CLUSTER_INSPECT |
|
aucune |
| read | INSPECT + CLUSTER_READ |
INSPECT +
|
aucune |
| use | READ + CLUSTER_USE |
READ +
|
aucune |
| manage | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | CLUSTER_NODE_POOL_INSPECT |
|
aucune |
| read | INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
aucune |
| use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
| manage | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
aucun accès supplémentaire |
CreateNodePool, DeleteNodePool et UpdateNodePool (requièrent également manage instance-family, use subnets, use vnics et inspect compartments)
|
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
aucune |
| read | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
| use |
aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
| manage |
aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
aucune |
| read | INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
aucune |
| use |
aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
| manage |
USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
aucune |
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
aucune |
| read | INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
aucune |
| use | aucun accès supplémentaire |
aucun accès supplémentaire |
aucune |
| manage | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
aucune |
| Verbes | Autorisations | API entièrement couvertes | API partiellement couvertes |
|---|---|---|---|
| inspect |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
aucune |
| read | INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
aucune |
| use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
aucune |
| manage |
USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
aucune |
Autorisations requises pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource. Pour plus d'informations sur les autorisations, voir Autorisations.
| Opération d'API | Autorisations requises pour utiliser l'opération |
|---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |