使用 ABAC 授权
基于属性的访问控制 (ABAC) 定义了一种访问控制范式,通过使用将属性组合在一起的策略向用户授予访问权限。
策略文件格式
要启用 ABAC 模式,请在启动时指定 --authorization-policy-file=SOME_FILENAME 和 --authorization-mode=ABAC。
文件格式为 每行一个 JSON 对象。不应有封闭列表或映射,每行只有一个映射。
每行都是一个“策略对象”,其中每个这样的对象都是一个具有以下属性的映射
- 版本控制属性
apiVersion,类型为字符串;有效值为“abac.authorization.kubernetes.io/v1beta1”。允许策略格式的版本控制和转换。kind,类型为字符串:有效值为“Policy”。允许策略格式的版本控制和转换。
spec属性设置为具有以下属性的映射- 主题匹配属性
user,类型为字符串;来自--token-auth-file的用户字符串。如果指定user,则它必须与已验证用户的用户名匹配。group,类型为字符串;如果指定group,则它必须与已验证用户的组之一匹配。system:authenticated匹配所有已验证请求。system:unauthenticated匹配所有未验证请求。
- 资源匹配属性
apiGroup,类型为字符串;API 组。- 示例:
apps、networking.k8s.io - 通配符:
*匹配所有 API 组。
- 示例:
namespace,类型为字符串;命名空间。- 示例:
kube-system - 通配符:
*匹配所有资源请求。
- 示例:
resource,类型为字符串;资源类型- 示例:
pods、deployments - 通配符:
*匹配所有资源请求。
- 示例:
- 非资源匹配属性
nonResourcePath,类型为字符串;非资源请求路径。- 示例:
/version或/apis - 通配符
*匹配所有非资源请求。/foo/*匹配/foo/的所有子路径。
- 示例:
readonly,类型为布尔值,为 true 时,表示资源匹配策略仅适用于 get、list 和 watch 操作,非资源匹配策略仅适用于 get 操作。
- 主题匹配属性
注意
未设置的属性与设置为其类型零值的属性相同(例如空字符串、0、false)。但是,为了可读性,应优先使用未设置。
将来,策略可能会用 JSON 格式表示,并通过 REST 接口进行管理。
授权算法
请求具有与策略对象属性相对应的属性。
收到请求时,将确定属性。未知属性将设置为其类型的零值(例如空字符串、0、false)。
设置为 "*" 的属性将匹配相应属性的任何值。
将属性元组与策略文件中的每个策略进行匹配检查。如果至少有一行与请求属性匹配,则请求将被授权(但可能在稍后的验证中失败)。
要允许任何已验证用户执行某些操作,请编写一个策略,将 group 属性设置为 "system:authenticated"。
要允许任何未验证用户执行某些操作,请编写一个策略,将 group 属性设置为 "system:unauthenticated"。
要允许用户执行任何操作,请编写一个策略,将 apiGroup、namespace、resource 和 nonResourcePath 属性设置为 "*"。
Kubectl
Kubectl 使用 apiserver 的 /api 和 /apis 端点来发现已提供的资源类型,并使用位于 /openapi/v2 的模式信息验证通过 create/update 操作发送到 API 的对象。
使用 ABAC 授权时,必须通过策略中的 nonResourcePath 属性显式公开这些特殊资源(请参阅下面的 示例)
/api、/api/*、/apis和/apis/*用于 API 版本协商。/version用于通过kubectl version检索服务器版本。/swaggerapi/*用于 create/update 操作。
要检查特定 kubectl 操作中涉及的 HTTP 调用,您可以提高详细程度
kubectl --v=8 version
示例
Alice 可以对所有资源执行任何操作
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "alice", "namespace": "*", "resource": "*", "apiGroup": "*"}}Kubelet 可以读取任何 Pod
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "kubelet", "namespace": "*", "resource": "pods", "readonly": true}}Kubelet 可以读取和写入事件
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "kubelet", "namespace": "*", "resource": "events"}}Bob 只能读取命名空间“projectCaribou”中的 Pod
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "bob", "namespace": "projectCaribou", "resource": "pods", "readonly": true}}任何人都可以对所有非资源路径发出只读请求
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"group": "system:authenticated", "readonly": true, "nonResourcePath": "*"}} {"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"group": "system:unauthenticated", "readonly": true, "nonResourcePath": "*"}}
关于服务帐户的简短说明
每个服务帐户都有一个相应的 ABAC 用户名,并且该服务帐户的用户名是根据命名约定生成的
system:serviceaccount:<namespace>:<serviceaccountname>
创建新的命名空间会导致以下格式的新服务帐户的创建
system:serviceaccount:<namespace>:default
例如,如果您想使用 ABAC 向默认服务帐户(在 kube-system 命名空间中)授予对 API 的完全权限,您将向您的策略文件添加此行
{"apiVersion":"abac.authorization.kubernetes.io/v1beta1","kind":"Policy","spec":{"user":"system:serviceaccount:kube-system:default","namespace":"*","resource":"*","apiGroup":"*"}}
需要重新启动 apiserver 才能获取新的策略行。