Détails relatifs à Container Engine for Kubernetes
Cette rubrique traite des détails relatifs à l'écriture de stratégies visant à contrôler l'accès à Container Engine for Kubernetes.
Types de ressource
Type agrégé de ressource
cluster-family
Types individuels de ressource
clusters
cluster-node-pools
cluster-pod-shapes
cluster-virtualnode-pools
cluster-work-requests
cluster-workload-mappings
Commentaires
Une stratégie qui utilise <verb> cluster-family
équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type>
distincte pour chaque type individuel de ressource.
Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans cluster-family
.
Variables prises en charge
Container Engine for Kubernetes prend en charge toutes les variables générales (reportez-vous à Variables générales pour toutes les demandes) ainsi que celles répertoriées ici.
Le type de ressource clusters
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.cluster.id
|
Entité (OCID) |
Le type de ressource cluster-node-pools
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.nodepool.id
|
Entité (OCID) |
Le type de ressource cluster-virtual-node-pools
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.virtualnodepool.id |
Entité (OCID) | |
target.cluster.id
|
Entité (OCID) |
Le type de ressource cluster-workload-mappings
peut utiliser les variables suivantes :
Variable | Type de variable | Commentaires |
---|---|---|
target.clusterworkloadmapping.id |
Entité (OCID) | |
target.mapping.cluster_id
|
Entité (OCID) |
Détails des combinaisons de verbe et de type de ressource
Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect
> read
> use
> manage
. Par exemple, un groupe qui peut utiliser une ressource peut également inspecter et lire cette ressource. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.
Par exemple, le verbe read
pour le type de ressource clusters
inclut les mêmes droits d'accès et opérations d'API que le verbe inspect
, plus le droit d'accès CLUSTER_READ et plusieurs opérations d'API (par exemple, GetCluster
). Le verbe use
couvre encore une autre opération d'API et un autre droit d'accès par rapport à read
. Enfin, manage
couvre davantage de droits d'accès et d'opérations que use
.
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CLUSTER_INSPECT |
|
aucun |
read | INSPECT + CLUSTER_READ |
INSPECT +
|
aucun |
use | READ + CLUSTER_USE |
READ +
|
aucun |
manage | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CLUSTER_NODE_POOL_INSPECT |
|
aucun |
read | INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
aucun élément supplémentaire |
CreateNodePool , DeleteNodePool et UpdateNodePool (requièrent également manage instance-family , use subnets , use vnics et inspect compartments )
|
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
aucun |
read | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage |
aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
aucun |
read | INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage | USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
aucun |
read | INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
aucun |
use | aucun élément supplémentaire |
aucun élément supplémentaire |
aucun |
manage | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
aucun |
Verbes | Droits d'accès | API complètement couvertes | API partiellement couvertes |
---|---|---|---|
inspect | CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
aucun |
read | INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
aucun |
use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
aucun |
manage | USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
aucun |
Droits d'accès requis pour chaque opération d'API
Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource. Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.
Opération d'API | Droits d'accès requis pour utiliser l'opération |
---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |