Detalhes do Container Engine for Kubernetes
Este tópico abrange detalhes de gravação de políticas para controlar o acesso ao Container Engine for Kubernetes.
Tipos de Recursos
Agregar Tipo de Recurso
cluster-family
Tipos de Recursos Individuais
clusters
cluster-node-pools
cluster-pod-shapes
cluster-virtualnode-pools
cluster-work-requests
cluster-workload-mappings
Comentários
Uma política que usa <verb> cluster-family
é equivalente a gravar uma instrução <verb> <individual resource-type>
separada para cada um dos tipos de recursos individuais.
Consulte a tabela em Detalhes para Combinações de Verbo + Resource-Type para obter um detalhamento das operações da API abrangidas por cada verbo, para cada resource-type individual incluído em cluster-family
.
Variáveis Suportadas
O Container Engine for Kubernetes suporta todas as variáveis gerais (consulte Variáveis Gerais para Todas as Solicitações), além das listadas aqui.
O tipo de recurso clusters
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.cluster.id
|
Entidade (OCID) |
O tipo de recurso cluster-node-pools
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.nodepool.id
|
Entidade (OCID) |
O tipo de recurso cluster-virtual-node-pools
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.virtualnodepool.id |
Entidade (OCID) | |
target.cluster.id
|
Entidade (OCID) |
O tipo de recurso cluster-workload-mappings
pode usar as seguintes variáveis:
Variável | Tipo de variável | Comentários |
---|---|---|
target.clusterworkloadmapping.id |
Entidade (OCID) | |
target.mapping.cluster_id
|
Entidade (OCID) |
Detalhes para Combinações de Verbo + Tipo de Recurso
As tabelas a seguir mostram as permissões e operações de API abrangidas por cada verbo. O nível de acesso é cumulativo à medida que você vai de inspect
> read
> use
> manage
. Um sinal de mais (+) em uma célula da tabela indica o acesso incremental comparado à célula diretamente acima dela, enquanto "sem extra" indica acesso incremental.
Por exemplo, o verbo read
do tipo de recurso clusters
inclui as mesmas permissões e operações de API que o verbo inspect
, além da permissão CLUSTER_READ e diversas operações de API (por exemplo, GetCluster
etc.). O verbo use
também abrange outra permissão e operação de API em comparação com read
. Por último, manage
abrange mais permissões e operações em comparação com use
.
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | CLUSTER_INSPECT |
|
none |
read | INSPECT + CLUSTER_READ |
INSPECT +
|
none |
use | READ + CLUSTER_USE |
READ +
|
none |
manage | USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | CLUSTER_NODE_POOL_INSPECT |
|
none |
read | INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
none |
use | sem extra |
sem extra |
none |
manage | USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
sem extra |
CreateNodePool , DeleteNodePool e UpdateNodePool (também precisa de manage instance-family , use subnets , use vnics e inspect compartments )
|
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
none |
read | sem extra |
sem extra |
none |
use |
sem extra |
sem extra |
none |
manage |
sem extra |
sem extra |
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
none |
read | INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
none |
use |
sem extra |
sem extra |
none |
manage |
USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect | CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
none |
read | INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
none |
use | sem extra |
sem extra |
none |
manage | USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
none |
Verbos | Permissões | APIs Totalmente Abrangidas | APIs Parcialmente Abrangidas |
---|---|---|---|
inspect |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
none |
read | INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
none |
use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
none |
manage |
USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
none |
Permissões Exigidas para Cada Operação de API
A tabela a seguir lista as operações de API em uma ordem lógica, agrupadas por tipo de recurso. Para obter informações sobre permissões, consulte Permissões.
Operação da API | Permissões Necessárias para Usar a Operação |
---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster |
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE, CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig |
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus |
CLUSTER_READ |
StartCredentialRotation |
CLUSTER_UPDATE |
CompleteCredentialRotation |
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT, CLUSTER_NODE_POOL_INSPECT, CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ, CLUSTER_NODE_POOL_READ, CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool |
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes |
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode |
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons |
CLUSTER_READ |
GetAddon |
CLUSTER_READ |
UpdateAddon |
CLUSTER_UPDATE |
DisableAddon |
CLUSTER_UPDATE |
InstallAddon |
CLUSTER_UPDATE |
ListWorkloadMappings |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping |
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |