クラスター 役割の許可

オペレーターには、「すべての名前空間」(openshift-operators 名前空間) のサブスクリプションの作成時に実行する操作に対するクラスター・レベルの許可があります。 クラスター管理者は、クラスター内の個々の名前空間に対する権限をいつどこで付与するかを決定することにより、ワークロードの分離を制御できます。

クラスター役割は、権限のスコープを単一の名前空間に限定しません。 ただし、役割バインディングを使用してクラスター役割がサービス・アカウントにリンクされている場合は、役割バインディングが作成される名前空間にクラスター役割の権限が適用されます。 クラスター役割は、役割バインディングによって参照されるときに単一の名前空間で表現される権限を定義します。 役割をサービス・アカウントにバインドすると、多くの名前空間で役割を複製する必要がなくなります。

オペレーター・クラスター役割の権限を参照すると、クラスター内の他のワークロードに与える影響を理解するのに役立ちます。

表 1. オペレーター・クラスター役割の権限
API グループ リソース 動詞 説明
security.openshift.io securitycontextconstraints
  • 使用
  • リスト
 オペレーターが必要とし、制限付き SCC の resourceNames に制限されます。
icp4a.ibm.com * * CP4BA CustomResourceDefinition。
拡張 (extensions)
  • podsecuritypolicies
  • ingresses
  • 取得
  • リスト
  • 更新
  • 作成
  • 監視
 一部のレガシー・サービスに使用されます。
route.openshift.io 経路
  • 取得
 経路を取得するために必要です。
""
  • configmaps
  • シークレット
  • persistentvolumes
  • 取得
  • PATCH
  • 更新
  • 作成
  • 削除
 CP4BA 名前空間を使用した、構成マップ、シークレット、永続ボリュームなどのリソースの作成と管理。
"" ポッド
  • 取得
  • リスト
  • 削除
 デプロイされたポッドのディスカバリーと管理の場合。
operator.ibm.com operandrequests
  • 取得
  • リスト
  • 更新
  • 作成
  • 削除
  • 監視
  • 状況
 ibm-common-services 名前空間内でオペランド要求を作成および管理します。
operator.openshift.io ingresscontrollers
  • 取得
 ルーター・アプリケーション・ドメインを取得するための openshift-ingress-operator 名前空間からの DNS コントローラーおよび Ingress コントローラーの権限。
operators.coreos.com
  • 購読
  • clusterserviceversions
  • 取得
  • リスト
  • 更新
  • 作成
  • 削除
  • PATCH
  • 監視
 CP4BA 名前空間で OLM オペレーター・サブスクリプションを管理するために使用されます。
operator.ibm.com businessteamsservices * ibm-common-services 名前空間からビジネス・チーム・サービスを作成および管理する場合。
apiextensions.k8s.io customresourcedefinitions
  • 取得
  • リスト
 CustomResourceDefinitions (CRTs) の作成に使用されます。
oidc.security.ibm.com クライアント * OIDC シークレットの作成および管理に使用されます。