Documentation Oracle Cloud Infrastructure

Détails relatifs à Container Engine for Kubernetes

Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès à Container Engine for Kubernetes.

Types de ressource

Type agrégé de ressource

  • cluster-family

Types individuels de ressource

  • clusters
  • cluster-node-pools
  • cluster-pod-shapes
  • cluster-virtualnode-pools
  • cluster-work-requests
  • cluster-workload-mappings

Commentaires

Une stratégie qui utilise <verb> cluster-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource.

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans cluster-family.

Variables prises en charge

Container Engine for Kubernetes prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes) ainsi que celles répertoriées ici.

Le type de ressource clusters peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.cluster.id Entité (OCID)  

Le type de ressource cluster-node-pools peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.nodepool.id Entité (OCID)  

Le type de ressource cluster-virtual-node-pools peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.virtualnodepool.id Entité (OCID)
target.cluster.id Entité (OCID)  

Le type de ressource cluster-workload-mappings peut utiliser les variables suivantes :

Variable Type de variable Commentaires
target.clusterworkloadmapping.id Entité (OCID)
target.mapping.cluster_id Entité (OCID)  

Détails des combinaisons de verbe et de type de ressource

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe read pour le type de ressource clusters inclut les mêmes droits d'accès et opérations d'API que le verbe inspect, plus le droit d'accès CLUSTER_READ et plusieurs opérations d'API (par exemple, GetCluster). Le verbe use couvre encore une autre opération d'API et un autre droit d'accès par rapport à read. Enfin, manage couvre davantage de droits d'accès et d'opérations que use.

clusters
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CLUSTER_INSPECT

ListClusters

ListWorkRequests

aucun
read

INSPECT +

CLUSTER_READ

INSPECT +

GetCluster

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

ListAddons

GetAddon

GetCredentialRotationStatus

aucun
use

READ +

CLUSTER_USE

READ +

CreateKubeconfig

aucun
manage

USE +

CLUSTER_CREATE

CLUSTER_DELETE

CLUSTER_UPDATE

CLUSTER_MANAGE

CLUSTER_JOIN

USE +

UpdateCluster

AdministerK8s

InstallAddon

UpdateAddon

DisableAddon

JoinCluster

StartCredentialRotation

CompleteCredentialRotation

CreateCluster (requiert également use subnets, read virtual-network-family, inspect compartments, use vnics, use network-security-groups, use private-ips et manage public-ips)

DeleteCluster (requiert également manage cluster-node-pools, manage instance-family, use subnets, use vnics, use private-ips et manage public-ips)

UpdateClusterEndpointConfig (requiert également use vnics, use network-security-groups, use private-ips et manage public-ips)
cluster-node-pools
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CLUSTER_NODE_POOL_INSPECT

ListNodePools

ListWorkRequests

aucun
read

INSPECT +

CLUSTER_NODE_POOL_READ

INSPECT +

GetNodePool

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun
manage

USE +

CLUSTER_NODE_POOL_CREATE

CLUSTER_NODE_POOL_DELETE

CLUSTER_NODE_POOL_UPDATE

aucun élément supplémentaire

 CreateNodePool, DeleteNodePool et UpdateNodePool (requièrent également manage instance-family, use subnets, use vnics et inspect compartments)
formes cluster-pod-
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CLUSTER_VIRTUAL_NODE_POOL_INSPECT

ListPodShapes

aucun
read

aucun élément supplémentaire

 

aucun élément supplémentaire

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun
manage

aucun élément supplémentaire

aucun élément supplémentaire

aucun
pools de noeuds virtuels du cluster
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CLUSTER_VIRTUAL_NODE_POOL_INSPECT

ListVirtualNodePools

ListPodShapes

aucun
read

INSPECT +

CLUSTER_VIRTUAL_NODE_POOL_READ

 

INSPECT +

GetVirtualNodePool

ListPodShapes

ListVirtualNodes

GetVirtualNode

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun
manage

USE +

CLUSTER_VIRTUAL_NODE_POOL_CREATE

CLUSTER_VIRTUAL_NODE_POOL_UPDATE

CLUSTER_VIRTUAL_NODE_POOL_DELETE

USE +

CreateVirtualNodePool

UpdateVirtualNodePool

DeleteVirtualNodePool

UpdateVirtualNode

DeleteVirtualNode

aucun
cluster-work-requests
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CLUSTER_WORK_REQUEST_INSPECT

 ListWorkRequests

aucun
read

INSPECT +

CLUSTER_WORK_REQUEST_READ

 

INSPECT +

GetWorkRequest

ListWorkRequestErrors

ListWorkRequestLogs

aucun
use

aucun élément supplémentaire

aucun élément supplémentaire

aucun
manage

USE +

CLUSTER_WORK_REQUEST_DELETE

USE +

DeleteWorkRequest

aucun
mappages de charge globale-cluster
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CLUSTER_WORKLOAD_MAPPING_INSPECT

 ListWorkloadMappings

aucun
read

INSPECT +

CLUSTER_WORKLOAD_MAPPING_READ

 

INSPECT +

GetWorkloadMapping

aucun
use

READ +

CLUSTER_WORKLOAD_MAPPING_UPDATE

CLUSTER_WORKLOAD_COMPARTMENT_BIND

CLUSTER_WORKLOAD_COMPARTMENT_UNBIND

UpdateWorkloadMapping

aucun
manage

USE +

CLUSTER_WORKLOAD_MAPPING_CREATE

CLUSTER_WORKLOAD_MAPPING_DELETE

USE +

CreateWorkloadMapping

DeleteWorkloadMapping

aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListClusters CLUSTER_INSPECT
CreateCluster CLUSTER_CREATE
CreateKubeconfig CLUSTER_USE
GetCluster CLUSTER_READ
UpdateCluster CLUSTER_UPDATE
JoinCluster CLUSTER_MANAGE
DeleteCluster CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE
UpdateClusterEndpointConfig CLUSTER_MANAGE
AdministerK8s CLUSTER_MANAGE
GetCredentialRotationStatus CLUSTER_READ
StartCredentialRotation CLUSTER_UPDATE
CompleteCredentialRotation CLUSTER_UPDATE
ListNodePools CLUSTER_NODE_POOL_INSPECT
CreateNodePool CLUSTER_NODE_POOL_CREATE
GetNodePool CLUSTER_NODE_POOL_READ
GetNodePoolOptions CLUSTER_READ
UpdateNodePool CLUSTER_NODE_POOL_UPDATE
DeleteNodePool CLUSTER_NODE_POOL_DELETE
ListWorkRequests CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT
GetWorkRequest CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ
ListWorkRequestErrors CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ
ListWorkRequestLogs CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ
DeleteWorkRequest CLUSTER_WORK_REQUEST_DELETE
ListVirtualNodePools CLUSTER_VIRTUAL_NODE_POOL_INSPECT
GetVirtualNodePool CLUSTER_VIRTUAL_NODE_POOL_READ
CreateVirtualNodePool CLUSTER_VIRTUAL_NODE_POOL_CREATE
UpdateVirtualNodePool CLUSTER_VIRTUAL_NODE_POOL_UPDATE
DeleteVirtualNodePool CLUSTER_VIRTUAL_NODE_POOL_DELETE
ListVirtualNodes CLUSTER_VIRTUAL_NODE_POOL_READ
GetVirtualNode CLUSTER_VIRTUAL_NODE_POOL_READ
DeleteVirtualNode CLUSTER_VIRTUAL_NODE_POOL_UPDATE
ListPodShapes CLUSTER_VIRTUAL_NODE_POOL_INSPECT
GetVirtualNode CLUSTER_VIRTUAL_NODE_POOL_READ
ListVirtualNodes CLUSTER_VIRTUAL_NODE_POOL_READ
DeleteVirtualNode CLUSTER_VIRTUAL_NODE_POOL_UPDATE
UpdateVirtualNode CLUSTER_VIRTUAL_NODE_POOL_UPDATE
ListAddons CLUSTER_READ
GetAddon CLUSTER_READ
UpdateAddon CLUSTER_UPDATE
DisableAddon CLUSTER_UPDATE
InstallAddon CLUSTER_UPDATE
ListWorkloadMappings CLUSTER_WORKLOAD_MAPPING_INSPECT
GetWorkloadMapping CLUSTER_WORKLOAD_MAPPING_READ
CreateWorkloadMapping CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND
UpdateWorkloadMapping CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND
DeleteWorkloadMapping CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND