Detalhes do Container Engine for Kubernetes
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao Container Engine for Kubernetes.
Tipos de Recursos
Agregar Tipo de Recurso
cluster-family
Tipos de Recursos Individuais
clusterscluster-node-poolscluster-pod-shapescluster-virtualnode-poolscluster-work-requestscluster-workload-mappings
Comentários
Uma política que usa <verb> cluster-family é equivalente a gravar uma instrução <verb> <individual resource-type> separada para cada um dos tipos de recursos individuais.
Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em cluster-family.
Variáveis Suportadas
O Container Engine for Kubernetes suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações), além das listadas aqui.
O tipo de recurso clusters pode usar as seguintes variáveis:
| Variável | Tipo de variável | Comentários |
|---|---|---|
target.cluster.id
|
Entidade (OCID) |
O tipo de recurso cluster-node-pools pode usar as seguintes variáveis:
| Variável | Tipo de variável | Comentários |
|---|---|---|
target.nodepool.id
|
Entidade (OCID) |
O tipo de recurso cluster-virtual-node-pools pode usar as seguintes variáveis:
| Variável | Tipo de variável | Comentários |
|---|---|---|
target.virtualnodepool.id |
Entidade (OCID) | |
target.cluster.id
|
Entidade (OCID) |
O tipo de recurso cluster-workload-mappings pode usar as seguintes variáveis:
| Variável | Tipo de variável | Comentários |
|---|---|---|
target.clusterworkloadmapping.id |
Entidade (OCID) | |
target.mapping.cluster_id
|
Entidade (OCID) |
Detalhes para Combinações de Verbo + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect > read > use > manage. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo read do tipo de recurso clusters inclui as mesmas permissões e operações de API que o verbo inspect, além da permissão CLUSTER_READ e diversas operações de API (por exemplo, GetCluster etc.). O verbo use também abrange outra permissão e operação de API em comparação com read. Por último, manage abrange mais permissões e operações em comparação com use.
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | CLUSTER_INSPECT |
|
none |
| read | INSPECT + CLUSTER_READ |
INSPECT +
|
none |
| use | READ + CLUSTER_USE |
READ +
|
none |
| manage | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | CLUSTER_NODE_POOL_INSPECT |
|
none |
| read | INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
none |
| use | sem extra |
sem extra |
none |
| manage | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
sem extra |
CreateNodePool, DeleteNodePool e UpdateNodePool (também precisa de manage instance-family, use subnets, use vnics e inspect compartments)
|
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
none |
| read | sem extra |
sem extra |
none |
| use |
sem extra |
sem extra |
none |
| manage |
sem extra |
sem extra |
none |
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
none |
| read | INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
none |
| use |
sem extra |
sem extra |
none |
| manage |
USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
none |
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
none |
| read | INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
none |
| use | sem extra |
sem extra |
none |
| manage | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
none |
| Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
|---|---|---|---|
| inspect |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
none |
| read | INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
none |
| use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
none |
| manage |
USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
none |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso. Para obter informações sobre permissões, consulte Permissões.
| Operação da API | Permissões Necessárias para Usar a Operação |
|---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |