SubjectAccessReview

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SubjectAccessReview

SubjectAccessReview 检查用户或组是否可以执行操作。

• apiVersion: authorization.k8s.io/v1

• kind: SubjectAccessReview

• metadata (ObjectMeta)

  标准列表元数据。更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

• spec (SubjectAccessReviewSpec), required

  Spec 包含有关正在评估的请求的信息

• status (SubjectAccessReviewStatus)

  Status 由服务器填写，并指示请求是否允许

SubjectAccessReviewSpec

SubjectAccessReviewSpec 是访问请求的描述。必须设置 ResourceAuthorizationAttributes 或 NonResourceAuthorizationAttributes 中的其中一个

• extra (map[string][]string)

  Extra 对应于身份验证器中的 user.Info.GetExtra() 方法。由于它是授权者的输入，因此需要在此处进行反映。

• groups ([]string)

  Groups 是您正在测试的组。

• nonResourceAttributes (NonResourceAttributes)

  NonResourceAttributes 描述了非资源访问请求的信息

  NonResourceAttributes 包含可用于对 Authorizer 接口进行非资源请求的授权属性

  • nonResourceAttributes.path (string)

    Path 是请求的 URL 路径

  • nonResourceAttributes.verb (string)

    Verb 是标准 HTTP 动词

• resourceAttributes (ResourceAttributes)

  ResourceAuthorizationAttributes 描述了资源访问请求的信息

  ResourceAttributes 包含可用于对 Authorizer 接口进行资源请求的授权属性

  • resourceAttributes.group (string)

    Group 是资源的 API 组。"*" 表示所有。

  • resourceAttributes.name (string)

    Name 是为“get”请求的资源名称，或为“delete”请求的删除资源名称。""（空）表示所有。

  • resourceAttributes.namespace (string)

    Namespace 是请求操作的命名空间。目前，没有命名空间和所有命名空间之间的区别 ""（空）默认为 LocalSubjectAccessReviews ""（空）对于集群范围的资源为空 ""（空）表示来自 SubjectAccessReview 或 SelfSubjectAccessReview 的命名空间范围的资源的“所有”

  • resourceAttributes.resource (string)

    Resource 是现有资源类型之一。"*" 表示所有。

  • resourceAttributes.subresource (string)

    Subresource 是现有资源类型之一。"" 表示无。

  • resourceAttributes.verb (string)

    Verb 是 kubernetes 资源 API 动词，例如：get、list、watch、create、update、delete、proxy。"*" 表示所有。

  • resourceAttributes.version (string)

    Version 是资源的 API 版本。"*" 表示所有。

• uid (string)

  有关请求用户的 UID 信息。

• user (string)

  User 是您正在测试的用户。如果您指定“User”但未指定“Groups”，则将其解释为“如果 User 不是任何组的成员会怎样

SubjectAccessReviewStatus

SubjectAccessReviewStatus

• allowed (boolean), required

  Allowed 是必需的。如果操作允许，则为 True，否则为 False。

• denied (boolean)

  Denied 是可选的。如果操作被拒绝，则为 True，否则为 False。如果 allowed 为 False 且 denied 为 False，则授权者对是否授权操作没有意见。如果 Allowed 为 True，则 Denied 可能不会为 True。

• evaluationError (string)

  EvaluationError 表示授权检查期间发生了一些错误。即使出现错误，也完全有可能继续确定授权状态。例如，RBAC 可能缺少角色，但仍然存在足够的角色并绑定到推理请求。

• reason (string)

  Reason 是可选的。它指示请求被允许或拒绝的原因。

操作

create 创建 SubjectAccessReview

HTTP 请求

POST /apis/authorization.k8s.io/v1/subjectaccessreviews

参数

• body: SubjectAccessReview, required

• dryRun (在查询中): string

  dryRun

• fieldManager (在查询中): string

  fieldManager

• fieldValidation (在查询中): string

  fieldValidation

• pretty (在查询中): string

  pretty

响应

200 (SubjectAccessReview): OK

201 (SubjectAccessReview): Created

202 (SubjectAccessReview): Accepted

401: Unauthorized