Dettagli per il motore Kubernetes
Questo argomento descrive i dettagli per la scrittura dei criteri per controllare l'accesso a Kubernetes Engine.
Resource-Types
Tipo di risorsa aggregata
cluster-family
Singola risorsa - Tipi
clusterscluster-node-poolscluster-pod-shapescluster-virtualnode-poolscluster-work-requestscluster-workload-mappings
Commenti
Un criterio che utilizza <verb> cluster-family equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei singoli tipi di risorsa.
Per i dettagli delle operazioni API coperte da ciascun verbo, per ogni singolo tipo di risorsa incluso in cluster-family, vedere la tabella in Dettagli per combinazioni Verb + Tipo di risorsa.
Variabili supportate
Kubernetes Engine supporta tutte le variabili generali (vedere Variabili generali per tutte le richieste), oltre a quelle elencate qui.
Il tipo di risorsa clusters può utilizzare le seguenti variabili:
| Variabile | Tipo di variabile | Commenti |
|---|---|---|
target.cluster.id
|
Entità (OCID) |
Il tipo di risorsa cluster-node-pools può utilizzare le seguenti variabili:
| Variabile | Tipo di variabile | Commenti |
|---|---|---|
target.nodepool.id
|
Entità (OCID) |
Il tipo di risorsa cluster-virtual-node-pools può utilizzare le seguenti variabili:
| Variabile | Tipo di variabile | Commenti |
|---|---|---|
target.virtualnodepool.id |
Entità (OCID) | |
target.cluster.id
|
Entità (OCID) |
Il tipo di risorsa cluster-workload-mappings può utilizzare le seguenti variabili:
| Variabile | Tipo di variabile | Commenti |
|---|---|---|
target.clusterworkloadmapping.id |
Entità (OCID) | |
target.mapping.cluster_id
|
Entità (OCID) |
Dettagli per le combinazioni verbo-tipo di risorsa
Le tabelle seguenti mostrano le autorizzazioni e le operazioni API coperte da ciascun verbo. Il livello di accesso è cumulativo quando si sceglie inspect > read > use > manage. Ad esempio, un gruppo che può utilizzare una risorsa può anche ispezionare e leggere tale risorsa. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "nessun extra" indica nessun accesso incrementale.
Ad esempio, il verbo read per il tipo di risorsa clusters include le stesse autorizzazioni e le stesse operazioni API del verbo inspect, oltre all'autorizzazione CLUSTER_READ e a una serie di operazioni API (ad esempio, GetCluster e così via). Il verbo use copre ancora un'altra autorizzazione e operazione API rispetto a read. Infine, manage copre più autorizzazioni e operazioni rispetto a use.
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | CLUSTER_INSPECT |
|
nessuno |
| letto | ISPEZIONA + CLUSTER_READ |
ISPEZIONA +
|
nessuno |
| utilizzare | LETTURA + CLUSTER_USE |
LETTURA +
|
nessuno |
| gestisci | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | CLUSTER_NODE_POOL_INSPECT |
|
nessuno |
| letto | ISPEZIONA + CLUSTER_NODE_POOL_READ |
ISPEZIONA +
|
nessuno |
| utilizzare | nessun altro |
nessun altro |
nessuno |
| gestisci | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
nessun altro |
CreateNodePool, DeleteNodePool e UpdateNodePool (è necessario anche manage instance-family, use subnets, use vnics e inspect compartments)
|
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
nessuno |
| letto | nessun altro |
nessun altro |
nessuno |
| utilizzare | nessun altro |
nessun altro |
nessuno |
| gestisci |
nessun altro |
nessun altro |
nessuno |
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
nessuno |
| letto | ISPEZIONA + CLUSTER_VIRTUAL_NODE_POOL_READ |
ISPEZIONA +
|
nessuno |
| utilizzare | nessun altro |
nessun altro |
nessuno |
| gestisci | UTILIZZO + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
UTILIZZO +
|
nessuno |
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
nessuno |
| letto | ISPEZIONA + CLUSTER_WORK_REQUEST_READ |
ISPEZIONA +
|
nessuno |
| utilizzare | nessun altro |
nessun altro |
nessuno |
| gestisci | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
nessuno |
| Verbi | Autorizzazioni | API completamente coperte | API parzialmente coperte |
|---|---|---|---|
| ispezionare | CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
nessuno |
| letto | ISPEZIONA + CLUSTER_WORKLOAD_MAPPING_READ |
ISPEZIONA +
|
nessuno |
| utilizzare |
LETTURA + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
nessuno |
| gestisci | UTILIZZO + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
UTILIZZO +
|
nessuno |
Autorizzazioni necessarie per ogni operazione API
Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa. Per informazioni sulle autorizzazioni, vedere Autorizzazioni.
| Operazione API | Autorizzazioni necessarie per utilizzare l'operazione |
|---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |