SubjectAccessReview

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SubjectAccessReview

SubjectAccessReview 检查用户或组是否可以执行操作。

• apiVersion: authorization.k8s.io/v1

• kind: SubjectAccessReview

• metadata (ObjectMeta)

  标准列表元数据。更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

• spec (SubjectAccessReviewSpec), 必需

  Spec 包含有关正在评估的请求的信息

• status (SubjectAccessReviewStatus)

  状态由服务器填写，并指示请求是否允许

SubjectAccessReviewSpec

SubjectAccessReviewSpec 是访问请求的描述。必须设置 ResourceAuthorizationAttributes 或 NonResourceAuthorizationAttributes 中的一个。

• extra (map[string][]string)

  Extra 对应于身份验证器中的 user.Info.GetExtra() 方法。由于这是授权器的输入，因此这里需要一个反射。

• groups ([]string)

  Groups 是您要测试的组。

• nonResourceAttributes (NonResourceAttributes)

  NonResourceAttributes 描述非资源访问请求的信息

  NonResourceAttributes 包含可用于向授权器接口发送非资源请求的授权属性

  • nonResourceAttributes.path (string)

    Path 是请求的 URL 路径

  • nonResourceAttributes.verb (string)

    Verb 是标准的 HTTP 动词

• resourceAttributes (ResourceAttributes)

  ResourceAuthorizationAttributes 描述资源访问请求的信息

  ResourceAttributes 包含可用于向授权器接口发送资源请求的授权属性

  • resourceAttributes.group (string)

    Group 是资源的 API 组。"*" 表示所有。

  • resourceAttributes.name (string)

    Name 是对“get”请求的资源名称，或对“delete”请求的资源名称。“”（空）表示所有。

  • resourceAttributes.namespace (string)

    Namespace 是请求操作的命名空间。目前，没有区分没有命名空间和所有命名空间。“”（空）在 LocalSubjectAccessReviews 中默认为空。“”（空）在集群范围的资源中为空。“”（空）在来自 SubjectAccessReview 或 SelfSubjectAccessReview 的命名空间范围的资源中表示“所有”。

  • resourceAttributes.resource (string)

    Resource 是现有的资源类型之一。"*" 表示所有。

  • resourceAttributes.subresource (string)

    Subresource 是现有的资源类型之一。“”（空）表示无。

  • resourceAttributes.verb (string)

    Verb 是 Kubernetes 资源 API 动词，例如：get、list、watch、create、update、delete、proxy。"*" 表示所有。

  • resourceAttributes.version (string)

    Version 是资源的 API 版本。"*" 表示所有。

• uid (string)

  UID 有关请求用户的身份信息。

• user (string)

  User 是您要测试的用户。如果您指定“User”但未指定“Groups”，则解释为“如果 User 不是任何组的成员会怎样”。

SubjectAccessReviewStatus

SubjectAccessReviewStatus

• allowed (boolean), 必需

  Allowed 是必需的。如果允许操作，则为 True，否则为 False。

• denied (boolean)

  Denied 是可选的。如果操作被拒绝，则为 True，否则为 False。如果 allowed 为 False 且 denied 为 False，则授权器对是否授权操作没有意见。如果 Allowed 为 True，则 Denied 不能为 True。

• evaluationError (string)

  EvaluationError 表示授权检查过程中发生了一些错误。尽管发生错误，但完全有可能获得错误并能够继续确定授权状态。例如，RBAC 可能缺少角色，但仍然存在足够的角色并绑定到它们以推断请求。

• reason (string)

  Reason 是可选的。它指示请求被允许或拒绝的原因。

操作

create 创建 SubjectAccessReview

HTTP 请求

POST /apis/authorization.k8s.io/v1/subjectaccessreviews

参数

• body: SubjectAccessReview, 必需

• dryRun (在查询中): string

  dryRun

• fieldManager (在查询中): string

  fieldManager

• fieldValidation (在查询中): string

  fieldValidation

• pretty (在查询中): string

  pretty

响应

200 (SubjectAccessReview): OK

201 (SubjectAccessReview): 已创建

202 (SubjectAccessReview): 已接受

401: 未经授权