Dettagli per Kubernetes Engine
In questo argomento vengono descritti i dettagli relativi alla scrittura dei criteri per controllare l'accesso a Kubernetes Engine.
Tipi di risorsa
Tipo di risorsa aggregato
-
cluster-family
Risorse singole - Tipi
-
clusters -
cluster-node-pools -
cluster-pod-shapes -
cluster-virtualnode-pools -
cluster-work-requests -
cluster-workload-mappings
commenti
Un criterio che utilizza <verb> cluster-family equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei singoli tipi di risorsa.
Per i dettagli delle operazioni API coperte da ciascun verbo, vedere la tabella in Dettagli per le combinazioni di verbi + tipi di risorsa per ogni singolo tipo di risorsa incluso in cluster-family.
Variabili supportate
Kubernetes Engine supporta tutte le variabili generali (vedere Variabili generali per tutte le richieste), oltre a quelle elencate qui.
Il tipo di risorsa clusters può utilizzare le variabili riportate di seguito.
| Variabile | Tipo di variabile | commenti |
|---|---|---|
target.cluster.id
|
Entità (OCID) |
Il tipo di risorsa cluster-node-pools può utilizzare le variabili riportate di seguito.
| Variabile | Tipo di variabile | commenti |
|---|---|---|
target.nodepool.id
|
Entità (OCID) |
Il tipo di risorsa cluster-virtual-node-pools può utilizzare le variabili riportate di seguito.
| Variabile | Tipo di variabile | commenti |
|---|---|---|
target.virtualnodepool.id
|
Entità (OCID) | |
target.cluster.id
|
Entità (OCID) |
Il tipo di risorsa cluster-workload-mappings può utilizzare le variabili riportate di seguito.
| Variabile | Tipo di variabile | commenti |
|---|---|---|
target.clusterworkloadmapping.id
|
Entità (OCID) | |
target.mapping.cluster_id
|
Entità (OCID) |
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ciascun verbo. Il livello di accesso è cumulativo come si va da inspect > read > use > manage. Ad esempio, un gruppo che può utilizzare una risorsa può anche ispezionare e leggere tale risorsa. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.
Ad esempio, il verbo read per resource-type clusters include le stesse autorizzazioni e le stesse operazioni API del verbo inspect, più l'autorizzazione CLUSTER_READ e una serie di operazioni API (ad esempio, GetCluster e così via). Il verbo use copre ancora un'altra operazione di autorizzazione e API rispetto a read. Infine, manage copre più autorizzazioni e operazioni rispetto a use.
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
CLUSTER_INSPECT |
|
nessuno |
| leggi |
ISPEZIONA + CLUSTER_READ |
ISPEZIONA +
|
nessuno |
| usa |
LEGGI + CLUSTER_USE |
LEGGI +
|
nessuno |
| gestisci |
USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
CLUSTER_NODE_POOL_INSPECT |
|
nessuno |
| leggi |
ISPEZIONA + CLUSTER_NODE_POOL_READ |
ISPEZIONA +
|
nessuno |
| usa |
nessun extra |
nessun extra |
nessuno |
| gestisci |
USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
nessun extra |
CreateNodePool, DeleteNodePool e UpdateNodePool (sono necessari anche manage instance-family, use subnets, use vnics e inspect compartments)
|
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
nessuno |
| leggi |
nessun extra |
nessun extra |
nessuno |
| usa |
nessun extra |
nessun extra |
nessuno |
| gestisci |
nessun extra |
nessun extra |
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
nessuno |
| leggi |
ISPEZIONA + CLUSTER_VIRTUAL_NODE_POOL_READ |
ISPEZIONA +
|
nessuno |
| usa |
nessun extra |
nessun extra |
nessuno |
| gestisci |
USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
nessuno |
| leggi |
ISPEZIONA + CLUSTER_WORK_REQUEST_READ |
ISPEZIONA +
|
nessuno |
| usa |
nessun extra |
nessun extra |
nessuno |
| gestisci |
USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
nessuno |
| Verbs | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
nessuno |
| leggi |
ISPEZIONA + CLUSTER_WORKLOAD_MAPPING_READ |
ISPEZIONA +
|
nessuno |
| usa |
LEGGI + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
nessuno |
| gestisci |
USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster
|
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig
|
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus
|
CLUSTER_READ |
StartCredentialRotation
|
CLUSTER_UPDATE |
CompleteCredentialRotation
|
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools
|
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes
|
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons
|
CLUSTER_READ |
GetAddon
|
CLUSTER_READ |
UpdateAddon
|
CLUSTER_UPDATE |
DisableAddon
|
CLUSTER_UPDATE |
InstallAddon
|
CLUSTER_UPDATE |
ListWorkloadMappings
|
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |