Список ролей полномочий: Как понять каких полномочий не хватает пользователю?

Набор функций ядра авторизации и расширение авторизации — это совершенно разные функции.Для управления группами, ролями или разрешениями вам нужно будет использовать функцию, в которой они были изначально созданы.

Вы можете обеспечить больший контроль, используя правила для ограничения доступа на основе комбинации атрибутов, таких как отдел пользователя, время суток , местонахождение доступа или любой другой атрибут пользователя или API (например, имя пользователя, уровень допуска или имя API).

Для получения дополнительной информации об использовании правил с политиками авторизации см. Правила с политиками авторизации.

Авторизация с использованием ролевого контроля доступа

Управление доступом на основе ролей (RBAC) — это метод управления доступом к системе. на основе ролей, назначенных пользователям в организации.RBAC определяется вокруг предопределенных ролей и привилегий связанные с этими ролями (также известные как привязки ролей ). Роли — это коллекция разрешений, которые вы можете привязать к ресурсу; эта привязка позволяет выполнять привилегии, связанные с этой ролью, на этом ресурсе. Вы должны предоставить роль принципалу во время привязки ресурса к роли.

Используя RBAC, вы можете управлять доступом к определенным ресурсам Confluent Platform и действиями пользователь может работать с этим ресурсом.RBAC использует службу метаданных Confluent Platform для настройки и управления реализацией RBAC из централизованной конфигурации контекст, тем самым упрощая управление доступом к ресурсам Confluent Platform.

Перед внедрением RBAC вы должны оценить потребности пользователей в безопасности в вашем организации и, исходя из ресурсов, которые им необходимы для выполнения своих обязанностей, группируйте пользователей в роли, удовлетворяющие этим требованиям. См. Примеры использования ролей RBAC для примера этой задачи планирования.Рекомендуется ограничивать пользователей минимально необходимая роль, необходимая им для выполнения поставленных задач.

Как и ACL, RBAC использует принципалов, поэтому вы можете связать любого принципала с клиент использует роль RBAC, которая авторизована Confluent Server Authorizer для связи как с RBAC, так и с ACL. Для получения дополнительной информации о Confluent Server Authorizer см. Обзор. Роли RBAC не поддерживают ОТКАЗАТЬ правила, и нет никакой разницы в том, как вы создаете и используете устаревшие на основе ZooKeeper ACL при использовании RBAC.Однако, если вы собираетесь продолжать использовать ACL, мы рекомендуем вам перейти на централизованные ACL, которые хранят информацию ACL в MDS, как и привязки ролей. Наследие ZooKeeper на основе Тем временем ACL будут продолжать работать.

Дополнительные сведения о включении и настройке RBAC см. В разделах Параметры конфигурации службы метаданных и Настройка службы метаданных (MDS).

Преимущества RBAC

RBAC поможет вам:

• Управляйте безопасным доступом через платформу Confluent (Kafka, ksqlDB, Connect, Schema Registry, Confluent Control Center) с помощью детализированные разрешения для управления доступом пользователей и групп.Например, с RBAC вы можете указать разрешения для каждого соединителя в кластере, что упростит и быстрее установить и запустить несколько разъемов.
• Управляйте авторизацией в масштабе. Администраторы могут централизованно управлять назначение предопределенных ролей, а также делегирование ответственности управления доступом и разрешениями для различных отделов или бизнес-единиц кто являются настоящими владельцами и наиболее знакомы с этими ресурсами.
• Централизованное управление аутентификацией и авторизацией для нескольких кластеров, которые включает: MDS, кластер Kafka, Connect, ksqlDB, кластеры реестра схем и единый экземпляр Confluent Control Center.

Как работает RBAC

Предопределенные назначения ролей определяют, кто может получить доступ к определенным ресурсам Confluent Platform и какие действия, которые отдельный пользователь может выполнять в пределах этого ресурса. Администратор назначает заранее определенные роли пользователям и группам на различных ресурсах; каждый пользователь может получить несколько ролей на каждом ресурсе. Определенные привилегированные пользователи (например, UserAdmin или SystemAdmin ) назначают роли пользователям и группам, а затем сопоставить определенные ресурсы с этими ролями пользователей.Например, ResourceOwner в финансовый отдел может предоставить членам отдела доступ ко всем темам, которые используют префикс finance_ , который упрощает управление ресурсами с которым они наиболее знакомы.

Администраторы пользователей могут добавлять пользователей и группы LDAP, делая это быстрее и проще. для централизованной настройки аутентификации и авторизации для различных ресурсов Confluent Platform используется в организации.

Обзор RBAC

С помощью RBAC администратор пользователей может назначать роли пользователям LDAP. и группы, привязанные к определенным ресурсам (привязка ролей).После роли привязка устанавливается с помощью Confluent CLI confluent iam rolebinding create команда, пользователи не могут перейти к API или Confluent Control Center для обхода и получения доступа к ресурсам. Привязка ролей к группам позволяет администраторам клиентов избегать предоставления явного доступа к каждому пользователь по каждому компоненту. Подробнее о просмотре привязок ролей см. Confluent CLI confluent iam rolebinding list команда. Обратите внимание, что привязка ролей не поддерживает подстановочные знаки. соответствие в основных именах. Дополнительные сведения см. В разделе Принципы подстановки.

Примечание

При настройке привязок ролей ( confluent iam rolebinding create ), если вы необходимо устранить неполадки, может быть полезно просматривать журналы аудита на лету, чтобы определить события авторизации для определенных участников, ресурсов или операций. Для подробности см. в разделе «Просмотр журналов аудита на лету».

Confluent Platform позволяет администраторам кластера централизованно регистрировать Кластеры Kafka в службе метаданных (MDS) для обеспечения более удобного использования RBAC опыт привязки ролей.Дополнительные сведения см. В разделе «Реестр кластеров».

RBAC и ACL

RBAC служит дополнительным уровнем обеспечения авторизации наверху списков ACL и не меняет способ создания списков ACL или удалось. При рассмотрении вопроса о том, использовать ли RBAC или ACL для управления доступом, следует предлагается использовать RBAC по умолчанию из-за простоты использования и управляемости. в масштабе, но для крайних случаев, когда вам нужно иметь более детальный контроль доступа, или желаете явно запретить доступ, ACL могут иметь больше смысла.Например, вы может использовать RBAC для разрешения доступа группе пользователей, но ACL для запрета доступа для конкретного члена этой группы.

RBAC добавляет дополнительный механизм авторизации, который касается следующих проблемы с авторизацией при использовании ACL:

• Без RBAC нельзя использовать ACL для предоставления доступа к соединителям. С RBAC каждый У коннектора есть собственный принципал, который определяет доступ к ресурсам. У пользователей есть доступ только для соединителей, для которых им явно предоставлено разрешение.Если вам нужен контроль доступа к коннектору, необходим RBAC.

• RBAC предоставляет возможность предлагать пользователям Confluent Control Center детальный доступ к ресурсам; до RBAC, любой пользователь, имеющий доступ к Confluent Control Center, имел полный или доступ только для чтения к темам и ресурсам. Если требуется детальный контроль доступа в Confluent Control Center, рекомендуется использовать RBAC.

• RBAC обеспечивает согласованный механизм аутентификации и авторизации для пользователей доступ ко всей платформе Confluent, что невозможно при использовании только ACL.

• До RBAC создание и управление списками ACL могло быть трудным для управления и поддерживать, а в организациях с тысячами ресурсов и пользователей настройку ACL может занять много времени. С RBAC делегирование ответственности различным ресурсы управляются с помощью роли ResourceOwner .

  Например, скажем, вы отвечаете за управление доступом пользователей к 1000 темам. Используя RBAC, вы можете предоставить ResourceOwner другим пользователям для управления темами. принадлежат определенным бизнес-единицам, и, в свою очередь, эти пользователи могут управлять доступом для других в их собственных командах.Используя ACL в этом сценарии, вы нужно будет централизованно управлять доступом ко всем темам, что было бы время и ресурсоемкая задача.

Параметры аутентификации RBAC

Параметры аутентификации, используемые до внедрения RBAC, могут потребовать дополнительная конфигурация, или вам может потребоваться использовать другой метод аутентификации все вместе.

Важно

Confluent Platform, которые имеют конечную точку REST (например, реестр схем и Центр управления Confluent), не поддержка использования принципала, полученного из аутентификации mTLS, при использовании RBAC.Итак, если вы раньше полагались на проверку подлинности сертификата SSL на платформе Confluent Platform, настраивая RBAC, при использовании RBAC вы также должны предоставить HTTP Basic Учетные данные для аутентификации (например, пользователь LDAP) для аутентификации в других компонентах или конечные точки REST API.

HTTP Basic Auth представляет учетные данные для входа в другие компоненты Confluent Platform и компонент использует эти учетные данные для получения OAuth токен для пользователя с MDS (который проверяет учетные данные против LDAP), а затем компонент использует токен OAuth для авторизации запросы в МДС.Вы должны указать токен на предъявителя для проверки подлинности HTTP Basic и, более конкретно, необходимо указать basic.auth.user.info и basic.auth.credentials.source .

При настройке компонентов Confluent Platform (например, Confluent Control Center, ksqlDB и REST Proxy) для RBAC, используйте OAuth для аутентификации с кластерами MDS и Kafka. Для аутентификации с другими компонентами Confluent Platform используйте аутентификацию HTTP Basic.

При использовании RBAC с реестром схем и подключением вы можете использовать любой из методы аутентификации, поддерживаемые Confluent Platform для связи с кластерами Kafka и MDS.Для аутентификации с другой платформой Confluent компоненты, используйте базовую аутентификацию HTTP.

При использовании RBAC с клиентами Kafka вы можете использовать любой из методы аутентификации, поддерживаемые Confluent Platform , кроме OAUTHBEARER . Подробнее см. Настройка клиентов Kafka.

Опции аутентификации RBAC

Терминология

В RBAC используются следующие термины:

Контроль доступа

Доступ — это способность отдельного пользователя или приложения выполнять определенную задачу, например просматривать, создавать или изменять ресурс (например,грамм. темы). Контроль доступа обеспечивает безопасный доступ к сервисам и ресурсам Confluent Platform.

Директор

Идентификационные данные пользователя или программного обеспечения, запрашивающего разрешение на выполнение определенного действия с определенным ресурсом. Принципалы могут быть аутентифицированы или не аутентифицированы (АНОНИМНО).

Принципал пользователя

Единый идентификатор, привязанный к конкретному пользователю или программе.

Принципал группы

Общий идентификатор, который объединяет список участников-пользователей и / или других участников группы.

роль

Набор разрешений, позволяющих принципалам выполнять определенные операции.

Ресурс

Ресурс может быть темой Apache Kafka®, группой потребителей, идентификатором транзакции, кластером, реестром схемы, ksqlDB и любым другим компонентом Confluent Platform.

Привязка ролей

Комбинация принципала-роли-ресурса, которая позволяет принципалу для выполнения операций с ресурсом или набором ресурсов, как определено ролью.

Управление доступом на основе ролей (RBAC)

В RBAC разрешения связаны с ролями, а пользователям или группам назначаются соответствующие роли.Роли определяется в соответствии с должностными полномочиями, полномочиями и ответственностью на предприятии. Пользователи и группы легко переназначен с одной роли на другую. Разрешения, назначенные ролям, как правило, изменяются относительно медленно по сравнению с изменения в членстве пользователей в ролях.

Ограничения RBAC

Для оптимальной производительности вашей конфигурации RBAC мы рекомендуем придерживаться до этих пределов.

Важно

ID пользователя, указанный в привязках групповых ролей, зависит от случая и должен соответствовать случай, указанный в записи AD.Также обратите внимание, что при входе в систему как суперпользователь идентификатор входа также зависит от регистра и должен соответствовать регистру, указанному для пользователя. ID в привязках ролей.

коды ошибок RBAC

Для RBAC используются следующие коды ошибок HTTP-доступа пользователей:

Примечание

В некоторых случаях, когда учетные данные пользователя верны, но у пользователя нет правильные разрешения, вы ожидаете ошибку 403 вместо ошибки 404. В таких случаях возвращается код ошибки 403, чтобы избежать раскрытия подробностей о конкретные ресурсы.

401

Не удалось войти в систему из-за отсутствия или недостаточности учетных данных (у пользователя отсутствуют достаточные разрешения).

403

Учетные данные пользователя могут быть правильными, но не удалось войти, потому что у пользователя нет необходимые разрешения для определенного ресурса (например, Schema Registry или Connect).

404

Not Found: пользователь имеет правильные учетные данные и доступ к ресурсу (например, пользователь имеет роль ResourceOwner ), но ресурс (например, Connect) не существует.

502

MDS недоступен. Обратитесь к администратору безопасности.

Schema Registry имеет много детализированных кодов ошибок, выходящих за рамки контекста RBAC. Видеть Справочник по API реестра схемы для описания ошибок HTTP реестра схемы (например, 40401) здесь не рассматривается.

Контрольный список внедрения RBAC

В этом разделе представлен контрольный список, который поможет вам спланировать внедрение RBAC.

Примечание

Ansible предлагает более простой способ настройки и развертывания RBAC и MDS.Обратитесь к настройкам Ansible RBAC для подробностей.

Для настройки RBAC:

☐ Установите Confluent Platform.

☐ Работайте со своей командой безопасности, чтобы оценить потребности пользователей в вашем организации и, исходя из ресурсов, которые им требуются для выполнения своих обязанности, определите, какие роли следует назначить пользователям и группам.

Описание некоторых типичных сценариев использования и требуемых ролей для каждого из них см. в сценарии использования ролей RBAC.

Для начальной загрузки RBAC необходимо определить супер-уровень уровня ACL.пользователь в Файл server.properties брокера Kafka в кластере, на котором размещается MDS. Этот super.user может затем назначить роль SystemAdmin другому пользователю, который может создавать требуемые кластеры и область требуемых привязок ролей для пользователей и групп. Обязательно укажите, какой пользователь будет выполнять роль начальной загрузки super.user . Для подробности см. в разделе Предопределенные роли управления доступом на основе ролей.

☐ Настройте службу метаданных (MDS).

MDS реализует основные функции RBAC и связывается с LDAP для получения информации о пользователях и группах и аутентифицировать пользователей.После настройки MDS можно переходить к роли привязки и конфигурация других компонентов Confluent Platform.

См. Настройте поставщика удостоверений LDAP, чтобы просмотреть конфигурацию LDAP для MDS.

☐ После того, как вы определили, какие роли должны быть назначены пользователям и группам, создать соответствующие привязки ролей для пользователи для доступа к ресурсам (например, Schema Registry, ksqlDB, Connect и Confluent Control Center) они необходимы для выполнения своих обязанностей.

☐ Подтвердите роли пользователя и группы, которые вы определили с помощью конфлюентный список привязки ролей iam команда.

☐ Настройте компоненты Confluent Platform для связи с MDS для аутентификации и авторизация. Подробнее см .:

Демо

Чтобы увидеть рабочий пример управления доступом на основе ролей (RBAC), ознакомьтесь с демонстрацией Confluent Platform. Эта демонстрация и сопутствующее руководство показывают пользователям, как развернуть приложение потоковой передачи событий Apache Kafka®. Все компоненты в демонстрации имеют сквозную безопасность, включая RBAC.

— Дополнительные понятия | Архитектура

В дополнение к ресурсам RBAC, которые управляют тем, что пользователь может сделать, OpenShift Container Platform предоставляет ограничений контекста безопасности (SCC), которые контролируют действия, которые может выполнять модуль выполнять и к чему у него есть доступ.Администраторы могут управлять SCC с помощью интерфейса командной строки.

также очень полезны для управления доступом к постоянному хранилищу.

SCC — это объекты, которые определяют набор условий, с которыми модуль должен работать в чтобы быть принятым в систему. Они позволяют администратору контролировать следующее:

1. Запуск привилегированный контейнеры.

2. Возможности, которые контейнер может запросить для добавления.

3. Использование каталогов хоста в качестве томов.

4. Контекст SELinux контейнера.

5. ID пользователя.

6. Использование пространств имен хостов и сети.

7. Распределение FSGroup , которому принадлежат тома контейнера

8. Настройка допустимых дополнительных групп

9. Требуется использование корневой файловой системы только для чтения

10. Контроль использования типов томов

11. Настройка допустимых профилей seccomp

Семь SCC добавляются в кластер по умолчанию и доступны для просмотра в кластере. администраторы, использующие CLI:

Пример вывода

  ИМЯ PRIV CAPS SELINUX RUNASUSER FSGROUP SUPGROUP PRIORITY READONLYROOTFS VOLUMES
anyuid false [] MustRunAs RunAsAny RunAsAny RunAsAny 10 false [configMap downwardAPI emptyDir persistentVolumeClaim secret]
hostaccess false [] MustRunAs MustRunAsRange MustRunAs RunAsAny <нет> false [configMap downwardAPI emptyDir hostPath persistentVolumeClaim secret]
hostmount-anyuid false [] MustRunAs RunAsAny RunAsAny RunAsAny <нет> false [configMap downwardAPI emptyDir hostPath nfs persistentVolumeClaim secret]
hostnetwork false [] MustRunAs MustRunAsRange MustRunAs MustRunAs  false [configMap downwardAPI emptyDir persistentVolumeClaim secret]
nonroot false [] MustRunAs MustRunAsNonRoot RunAsAny RunAsAny  false [configMap downwardAPI emptyDir persistentVolumeClaim secret]
привилегированный true [*] RunAsAny RunAsAny RunAsAny RunAsAny <нет> false [*]
ограничено false [] MustRunAs MustRunAsRange MustRunAs RunAsAny <нет> false [configMap downwardAPI emptyDir persistentVolumeClaim secret]  

Определение каждого SCC также доступно для просмотра администраторами кластера с помощью CLI. Например, для привилегированного SCC:

  $ oc get -o yaml --export scc / привилегированный  

Пример вывода

  allowHostDirVolumePlugin: true
allowHostIPC: true
allowHostNetwork: true
allowHostPID: true
allowHostPorts: true
allowPrivilegedContainer: true
allowedCapabilities:   (1) 
- '*'
apiVersion: v1
defaultAddCapabilities: []   (2) 
fsGroup:   (3) 
  тип: RunAsAny
группы:   (4) 
- система: администраторы кластера
- система: узлы
вид: SecurityContextConstraints
метаданные:
  аннотации:
    кубернетес.io / description: 'привилегированный разрешает доступ всем привилегированным и хост-компьютерам
      функции и возможность работать от имени любого пользователя, любой группы, любой fsGroup и с
      любой контекст SELinux. ВНИМАНИЕ: это наиболее расслабленный SCC, и его следует использовать
      только для администрирования кластера. Грант с осторожностью.
  createTimestamp: нуль
  имя: привилегированный
приоритет: ноль
readOnlyRootFilesystem: ложь
requiredDropCapabilities: []   (5) 
runAsUser:   (6) 
  тип: RunAsAny
seLinuxContext:   (7) 
  тип: RunAsAny
seccompПрофили:
- '*'
дополнительныеГруппы:   (8) 
  тип: RunAsAny
Пользователи:   (9) 
- система: serviceaccount: по умолчанию: реестр
- system: serviceaccount: по умолчанию: маршрутизатор
- система: serviceaccount: openshift-infra: build-controller
тома:
- '*'  

пользователь и группирует поля в элементе управления SCC, которые можно использовать. По умолчанию администраторам кластера, узлам и контроллеру сборки предоставляется доступ к привилегированному SCC. Всем авторизованным пользователям предоставляется доступ к ограниченный SCC.

Docker имеет По умолчанию список возможностей, которые разрешены для каждого контейнера модуля.В контейнеры используют возможности из этого списка по умолчанию, но авторы манифеста модуля может изменить его, запросив дополнительные возможности или отказавшись от некоторых из невыполнение обязательств. allowedCapabilities , defaultAddCapabilities и requiredDropCapabilities поля используются для управления такими запросами от pods, и чтобы указать, какие возможности могут быть запрошены, какие из них должны быть добавлены в каждый контейнер, и какие из них должны быть запрещены.

• допускает привилегированные поды.

• позволяет монтировать каталоги хоста как тома.

• позволяет модулю работать от имени любого пользователя.

• позволяет модулю работать с любой меткой MCS.

• позволяет модулю использовать пространство имен IPC хоста.

• позволяет модулю использовать пространство имен PID хоста.

• позволяет модулю использовать любую группу FSGroup.

• позволяет модулю использовать любую дополнительную группу.

• позволяет модулю использовать любые профили seccomp.

• позволяет модулю запрашивать любые возможности.

• гарантирует, что поды не могут работать с привилегиями.

• гарантирует, что модули не могут использовать тома каталога хоста.

• требует, чтобы модуль запускался от имени пользователя в заранее выделенном диапазоне UID.

• требует, чтобы модуль работал с заранее выделенной меткой MCS.

• позволяет модулю использовать любую группу FSGroup.

• позволяет модулю использовать любую дополнительную группу.

SCC состоят из настроек и стратегий, которые управляют функциями безопасности. модуль имеет доступ к. Эти настройки делятся на три категории:

Стратегии SCC

RunAsUser

1. MustRunAs — требуется настроить runAsUser . Использует настроенный runAsUser по умолчанию. Проверяет настроенный runAsUser .

2. MustRunAsRange — Требует определения минимального и максимального значений, если нет с использованием заранее назначенных значений. По умолчанию используется минимум.Проверяет против весь допустимый диапазон.

3. MustRunAsNonRoot — требует, чтобы пакет был отправлен с ненулевым runAsUser или директиву USER , определенную в образе. По умолчанию нет при условии.

4. RunAsAny — По умолчанию не предусмотрено. Позволяет указать любой runAsUser .

SELinuxContext

1. MustRunAs — Требуется seLinuxOptions для настройки, если не используется предварительно назначенные значения.По умолчанию используется seLinuxOptions . Проверяет против seLinuxOptions .

2. RunAsAny — По умолчанию не предусмотрено. Позволяет любому seLinuxOptions быть указано.

Дополнительные группы

1. MustRunAs — Требуется указать хотя бы один диапазон, если не используется предварительно назначенные значения. По умолчанию используется минимальное значение первого диапазона. Проверяет по всем диапазонам.

2. RunAsAny — По умолчанию не предусмотрено. Позволяет любым дополнительным группам быть указано.

FSGroup

1. MustRunAs — Требуется указать хотя бы один диапазон, если не используется предварительно назначенные значения. По умолчанию используется минимальное значение первого диапазона. Проверяется по первому идентификатору в первом диапазоне.

2. RunAsAny — По умолчанию не предусмотрено. Позволяет указать любой идентификатор fsGroup .

Контрольные объемы

Использование определенных типов томов можно контролировать, задав тома поле SCC. Допустимые значения этого поля соответствуют объему источники, которые определены при создании тома:

Рекомендуемый минимальный набор разрешенных томов для новых SCC: configMap , вниз, API , emptyDir , persistentVolumeClaim , secret и прогнозируемый .

Ограничение доступа к FlexVolumes

OpenShift Container Platform обеспечивает дополнительный контроль FlexVolumes на основе их Водитель. Когда SCC разрешает использование FlexVolumes, модули могут запрашивать любые FlexVolumes. Однако, когда администратор кластера указывает имена драйверов в поле AllowedFlexVolumes , модули должны использовать FlexVolumes только с этими драйверы.

Пример ограничения доступа только двумя FlexVolumes

  томов:
- flexVolume
allowedFlexVolumes:
- драйвер: example / lvm
- драйвер: example / cifs  

Seccomp

SeccompProfiles перечисляет разрешенные профили, которые могут быть установлены для модуля или модуля. аннотации seccomp контейнера.Неустановленное (ноль) или пустое значение означает, что нет профили указываются в пакете или контейнере. Используйте подстановочный знак * , чтобы разрешить все профили. Когда используется для генерации значения для модуля, первый не подстановочный знак профиль используется по умолчанию.

Прием

Контроль доступа с SCC позволяет контролировать создание ресурсов на основе возможностей, предоставленных пользователю.

С точки зрения SCC это означает, что контроллер допуска может проверять информация о пользователе, доступная в контексте для получения соответствующего набора SCC.Это гарантирует, что модуль уполномочен делать запросы о своих операционной среде или для создания набора ограничений для применения к модулю.

Набор SCC, которые допуск использует для авторизации модуля, определяется идентификатор пользователя и группы, к которым принадлежит пользователь. Кроме того, если стручок указывает учетную запись службы, набор допустимых SCC включает любые ограничения доступный для учетной записи службы.

Admission использует следующий подход для создания окончательного контекста безопасности для капсула:

1. Получить все доступные для использования SCC.

2. Сгенерировать значения полей для параметров контекста безопасности, которые не были указаны по запросу.

3. Проверьте окончательные настройки на соответствие доступным ограничениям.

Если найден соответствующий набор ограничений, то пакет принимается. Если запрос не может быть сопоставлен с SCC, модуль отклонен.

Модуль должен проверять каждое поле на соответствие SCC. Ниже приведены примеры для только два поля, которые необходимо проверить:

A FSGroup SCC Стратегия MustRunAs

Если модуль определяет идентификатор fsGroup , то этот идентификатор должен быть равен значению по умолчанию. fsGroup Идентификатор. В противном случае пакет не будет подтвержден этим SCC и следующим SCC. оценивается.

Если поле SecurityContextConstraints.fsGroup имеет значение RunAsAny а в спецификации модуля не указан Pod.spec.securityContext.fsGroup , то это поле считается действительным.Обратите внимание, что возможно, что во время проверки, другие настройки SCC отклонят другие поля модуля и, таким образом, вызовут стручок, чтобы выйти из строя.

A SupplementalGroups Стратегия SCC обязательного выполнения

Если спецификация модуля определяет один или несколько идентификаторов дополнительных групп , то идентификаторы модуля должны совпадать с одним из идентификаторов в пространстве имен openshift.io/sa.scc.supplemental-groups аннотация. В противном случае капсула не проверяется этим SCC, и оценивается следующий SCC.

Если поле SecurityContextConstraints.supplementalGroups имеет значение RunAsAny а в спецификации модуля опущен Pod.spec.securityContext.supplementalGroups , то это поле считается действительным. Обратите внимание, что возможно, что во время проверки, другие настройки SCC отклонят другие поля модуля и, таким образом, вызовут стручок, чтобы выйти из строя.

Приоритизация SCC

SCC имеют поле приоритета, которое влияет на порядок при попытке проверить запрос контроллера допуска.Более высокий приоритет При сортировке SCC перемещается в переднюю часть набора. Когда полный комплект из доступных SCC определены, они упорядочены по:

1. Сначала наивысший приоритет, nil считается приоритетом 0

2. Если приоритеты равны, SCC будут отсортированы от наиболее строгих к наименее строгим

3. Если и приоритеты, и ограничения равны, SCC будут отсортированы по имени

По умолчанию Anyuid SCC, предоставленный администраторам кластера, имеет приоритет. в их наборе SCC.Это позволяет администраторам кластера запускать модули как любые пользователь без указания RunAsUser в SecurityContext модуля. В администратор может по-прежнему указать RunAsUser , если желает.

Ролевой доступ к SCC

Начиная с OpenShift Container Platform 3.11, вы можете указать SCC как ресурс, который обрабатывается RBAC. Это позволяет вам ограничить доступ к вашим SCC до определенного проекту или всему кластеру. Назначение пользователей, групп или учетных записей служб напрямую в SCC, сохраняет область действия в масштабе всего кластера.

Чтобы включить доступ к SCC для вашей роли, вы указываете следующее правило в определение роли: .Ролевой доступ к SCC

  правила:
- apiGroups:
  - security.openshift.io   (1) 
  Ресурсы:
  - securitycontextconstraints   (2) 
  глаголы:
  - Создайте
  - Удалить
  - deletecollection
  - получать
  - список
  - пластырь
  - Обновить
  - смотреть
  resourceNames:
  - myPermittingSCC   (3)   

Локальная или кластерная роль с таким правилом позволяет субъектам, связанным с ней, с помощью привязка ролей или кластера привязка ролей для использования определяемого пользователем SCC, называемого myPermittingSCC .

Общие сведения о предварительно назначенных значениях и ограничениях контекста безопасности

Контроллер доступа осведомлен об определенных условиях в контексте безопасности. ограничения, которые запускают поиск заранее выделенных значений из пространства имен и заполните ограничение контекста безопасности перед обработкой модуля.Каждый SCC стратегия оценивается независимо от других стратегий с заранее выделенными значения (где разрешено) для каждой политики, агрегированные со значениями спецификации модуля чтобы получить окончательные значения для различных идентификаторов, определенных в работающем модуле.

Следующие SCC заставляют контроллер доступа искать заранее выделенные значения, когда в спецификации модуля не определены диапазоны:

1. A RunAsUser стратегия MustRunAsRange без минимального или максимального набора.При приеме необходимо заполнить аннотацию openshift.io/sa.scc.uid-range . поля диапазона.

2. Стратегия SELinuxContext для MustRunAs без установленного уровня. Допуск ищет аннотацию openshift.io/sa.scc.mcs для заполнения уровня.

3. A FSGroup стратегия MustRunAs . Прием ищет openshift.io/sa.scc.supplemental-groups аннотация.

4. A SupplementalGroups стратегия MustRunAs .Прием ищет openshift.io/sa.scc.supplemental-groups аннотация.

На этапе генерации провайдер контекста безопасности по умолчанию значения, которые специально не установлены в модуле. Значение по умолчанию основано на используемая стратегия:

1. RunAsAny и MustRunAsNonRoot стратегии не обеспечивают значение по умолчанию значения. Таким образом, если для модуля требуется определенное поле (например, идентификатор группы), этот Поле должно быть определено в спецификации модуля.

2. MustRunAs (одно значение) стратегии предоставляют значение по умолчанию, которое всегда использовал. Например, для идентификаторов групп: даже если спецификация модуля определяет его собственное значение идентификатора, поле пространства имен по умолчанию также появится в модуле группы.

3. MustRunAsRange и MustRunAs (на основе диапазона) стратегии обеспечивают минимальное значение диапазона. Как и в случае стратегии с одним значением MustRunAs , значение по умолчанию для пространства имен появится в работающем модуле.Если на основе диапазона стратегия настраивается с несколькими диапазонами, она предоставит минимальное значение первого настроенного диапазона.

Использование авторизации RBAC | Kubernetes

Контроль доступа на основе ролей (RBAC) - это метод регулирования доступа к компьютеру или сетевые ресурсы на основе ролей отдельных пользователей в вашей организации.

авторизация RBAC использует rbac.authorization.k8s.io Группа API для авторизации решения, позволяющие динамически настраивать политики через Kubernetes API.

Чтобы включить RBAC, запустите сервер API с флагом --authorization-mode , установленным в список, разделенный запятыми, который включает RBAC ; например:

  kube-apiserver --authorization-mode = Пример, RBAC --other-options --more-options
  

Объекты API

RBAC API объявляет четыре типа объекта Kubernetes: Role , ClusterRole , RoleBinding и ClusterRoleBinding .Ты можешь описывать объекты, или исправьте их, используя такие инструменты, как kubectl, , как и любой другой объект Kubernetes.

Роль и ClusterRole

Роль RBAC или ClusterRole содержит правила, представляющие набор разрешений. Разрешения чисто аддитивные (нет правил запрета).

Роль всегда устанавливает разрешения в определенном пространстве имен; при создании роли необходимо указать пространство имен, которому она принадлежит.

ClusterRole, напротив, не является ресурсом без пространства имен.Ресурсы имеют разные названия (Роль и ClusterRole), потому что объект Kubernetes всегда должен быть либо в пространстве имен, либо без него; не может быть и того, и другого.

ClusterRoles имеет несколько применений. Вы можете использовать ClusterRole для:

1. определения разрешений на ресурсы с пространством имен и предоставления в пределах отдельных пространств имен
2. определения разрешений на ресурсы с пространством имен и предоставления во всех пространствах имен
3. определения разрешений на ресурсы с областью имен

вы хотите определить роль в пространстве имен, используйте Role; если вы хотите определить роль для всего кластера используйте ClusterRole.

Пример роли

Вот пример Роль в пространстве имен «по умолчанию», которую можно использовать для предоставления доступа на чтение к pods:

  apiVersion: rbac.authorization.k8s.io/v1
kind: Роль
метаданные:
  пространство имен: по умолчанию
  имя: pod-reader
правила:
- apiGroups: [""] # "" указывает основную группу API
  ресурсы: ["стручки"]
  глаголы: ["получить", "посмотреть", "список"]
  

Пример ClusterRole

ClusterRole может использоваться для предоставления тех же разрешений, что и роль. Поскольку роли ClusterRoles относятся к кластеру, вы также можете использовать их для предоставления доступа к:

• ресурсам в кластере (например, узлам)

• конечным точкам без ресурсов (например, / healthz )

• ресурсам с пространством имен (например, Pods), во всех пространствах имен

  Например: вы можете использовать ClusterRole, чтобы разрешить конкретному пользователю запускать kubectl get pods --all-namespaces

Вот пример ClusterRole, который можно использовать для предоставления доступа на чтение к секреты в любом конкретном пространстве имен, или во всех пространствах имен (в зависимости от того, как они связаны):

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  # "namespace" опущено, поскольку ClusterRoles не имеет пространства имен
  имя: секрет-читатель
правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Secret
  # объект "секреты"
  ресурсы: ["секреты"]
  глаголы: ["получить", "посмотреть", "список"]
  

Имя роли или объекта ClusterRole должно быть допустимым. имя сегмента пути.

RoleBinding и ClusterRoleBinding

Привязка роли предоставляет пользователю или группе пользователей разрешения, определенные в роли.Он содержит список из субъектов (пользователи, группы или учетные записи служб) и ссылку на роль предоставляется. RoleBinding предоставляет разрешения в определенном пространстве имен, тогда как ClusterRoleBinding предоставляет доступ к кластеру.

RoleBinding может ссылаться на любую роль в том же пространстве имен. В качестве альтернативы RoleBinding может ссылаться на ClusterRole и связывать эту ClusterRole с пространством имен RoleBinding. Если вы хотите привязать ClusterRole ко всем пространствам имен в вашем кластере, вы используете ClusterRoleBinding.

Имя объекта RoleBinding или ClusterRoleBinding должно быть допустимым. имя сегмента пути.

Примеры RoleBinding

Вот пример RoleBinding, который предоставляет роль «pod-reader» пользователю «jane». в пространстве имен "по умолчанию". Это позволяет «Джейн» читать модули в пространстве имен «по умолчанию».

  apiVersion: rbac.authorization.k8s.io/v1
# Эта привязка роли позволяет "jane" читать модули в пространстве имен "default".
# У вас уже должна быть роль с именем "pod-reader" в этом пространстве имен.вид: RoleBinding
метаданные:
  имя: стручки чтения
  пространство имен: по умолчанию
предметы:
# Вы можете указать более одного "предмета"
- вид: Пользователь
  name: jane # "name" чувствительно к регистру
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # "roleRef" указывает привязку к роли / роли кластера
  kind: Role # это должна быть Role или ClusterRole
  name: pod-reader # это должно совпадать с именем роли или ClusterRole, к которой вы хотите привязать
  apiGroup: rbac.authorization.k8s.io
  

RoleBinding может также ссылаться на ClusterRole для предоставления разрешений, определенных в этом ClusterRole к ресурсам внутри пространства имен RoleBinding.Такая ссылка позволяет определить набор общих ролей в кластере, а затем повторно использовать их в несколько пространств имен.

Например, даже если следующее RoleBinding относится к ClusterRole, "dave" (субъект, чувствительный к регистру) сможет читать "Секреты" только в "development" пространство имен, потому что пространство имен RoleBinding (в его метаданных) - «разработка».

  apiVersion: rbac.authorization.k8s.io/v1
# Эта привязка роли позволяет «dave» читать секреты в пространстве имен «development».# У вас уже должна быть ClusterRole с именем "secret-reader".
вид: RoleBinding
метаданные:
  name: секреты чтения
  #
  # Пространство имен RoleBinding определяет, где предоставляются разрешения.
  # Это дает разрешения только в пространстве имен "разработка".
  пространство имен: разработка
предметы:
- вид: Пользователь
  name: dave # Имя чувствительно к регистру
  apiGroup: rbac.authorization.k8s.io
roleRef:
  вид: ClusterRole
  имя: секрет-читатель
  apiGroup: rbac.authorization.k8s.io
  

Пример ClusterRoleBinding

Чтобы предоставить разрешения для всего кластера, вы можете использовать ClusterRoleBinding.Следующая ClusterRoleBinding позволяет любому пользователю в группе «менеджер» читать секреты в любом пространстве имен.

  apiVersion: rbac.authorization.k8s.io/v1
# Эта привязка роли кластера позволяет любому члену группы «менеджер» читать секреты в любом пространстве имен.
вид: ClusterRoleBinding
метаданные:
  имя: секреты чтения глобальный
предметы:
- вид: Группа
  name: manager # Имя чувствительно к регистру
  apiGroup: rbac.authorization.k8s.io
roleRef:
  вид: ClusterRole
  имя: секрет-читатель
  apiGroup: rbac.authorization.k8s.io
  

После создания привязки нельзя изменить роль или роль кластера, на которую она ссылается. Если вы попытаетесь изменить привязку roleRef , вы получите ошибку проверки. Если ты хочешь чтобы изменить роль roleRef для привязки, необходимо удалить объект привязки и создать замена.

Это ограничение вызвано двумя причинами:

1. Создание неизменяемой roleRef позволяет предоставить кому-либо разрешение на обновление для существующей привязки. объект, чтобы они могли управлять списком субъектов, не имея возможности изменять роль, которая отводится этим предметам.
2. Привязка к другой роли - это принципиально иная привязка. Требование удаления / воссоздания привязки для изменения роли Ссылка гарантирует, что полный список предметов в привязке предназначен для предоставления новая роль (в отличие от включения или случайного изменения только roleRef без проверки всем существующим субъектам следует дать новую роль разрешения).

Утилита командной строки kubectl auth reconcile создает или обновляет файл манифеста, содержащий объекты RBAC, и обрабатывает удаление и воссоздание объектов привязки, если это необходимо для изменения роли, на которую они ссылаются.См. Использование команд и примеры для получения дополнительной информации.

Обращение к ресурсам

В Kubernetes API большинство ресурсов представлено и доступно с помощью строкового представления имя их объекта, например pod для Pod. RBAC относится к ресурсам, использующим точно такие же имя, которое отображается в URL-адресе соответствующей конечной точки API. Некоторые API Kubernetes включают подресурс , например журналы для Pod. Запрос журналов модуля выглядит так:

  GET / api / v1 / namespaces / {namespace} / pods / {name} / log.
  

В этом случае pod - это ресурс с пространством имен для ресурсов Pod, а журнал - это подресурс pod .Чтобы представить это в роли RBAC, используйте косую черту (/) для разграничить ресурс и подресурс. Разрешить субъекту читать под и также обращайтесь к подресурсу log для каждого из этих модулей, вы пишете:

  apiVersion: rbac.authorization.k8s.io/v1
kind: Роль
метаданные:
  пространство имен: по умолчанию
  имя: pod-and-pod-logs-reader
правила:
- apiGroups: [""]
  ресурсы: ["блоки", "блоки / журнал"]
  глаголы: ["получить", "список"]
  

Вы также можете ссылаться на ресурсы по имени для определенных запросов через список resourceNames .Если указано, запросы могут быть ограничены отдельными экземплярами ресурса. Вот пример, который ограничивает его предмет только получить или обновить a ConfigMap с именем my-configmap :

  apiVersion: rbac.authorization.k8s.io/v1
kind: Роль
метаданные:
  пространство имен: по умолчанию
  имя: configmap-updater
правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к ConfigMap
  # объект "configmaps"
  ресурсы: ["configmaps"]
  resourceNames: ["my-configmap"]
  глаголы: ["обновить", "получить"]
  

Примечание: Вы не можете ограничить запросы create или deletecollection по resourceName.Для создайте , это ограничение связано с тем, что имя объекта неизвестно во время авторизации.

Агрегированные роли кластера

Можно агрегировать нескольких ролей кластера в одну объединенную роль кластера. Контроллер, работающий как часть плоскости управления кластером, наблюдает за ClusterRole. объекты с набором aggregationRule . Правило агрегации определяет метку. селектор, что контроллер используется для сопоставления с другими объектами ClusterRole, которые должны быть объединены в правила поле этого.

Вот пример агрегированной роли ClusterRole:

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: мониторинг
aggregationRule:
  clusterRoleSelectors:
  - matchLabels:
      rbac.example.com/aggregate-to-monitoring: "правда"
rules: [] # Уровень управления автоматически заполняет правила
  

Если вы создаете новую ClusterRole, которая соответствует селектору меток существующей агрегированной ClusterRole, это изменение запускает добавление новых правил в агрегированную ClusterRole.Вот пример, который добавляет правила к «контролирующей» ClusterRole, создавая еще одну ClusterRole с меткой rbac.example.com/aggregate-to-monitoring: true .

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: конечные точки мониторинга
  ярлыки:
    rbac.example.com/aggregate-to-monitoring: "правда"
# При создании ClusterRole "конечных точек мониторинга",
# приведенные ниже правила будут добавлены в ClusterRole "мониторинг".
правила:
- apiGroups: [""]
  ресурсы: ["службы", "конечные точки", "модули"]
  глаголы: ["получить", "список", "смотреть"]
  

Пользовательские роли по умолчанию используют агрегацию ClusterRole.Это позволяет вам, как администратор кластера, включите правила для настраиваемых ресурсов, например, обслуживаемых CustomResourceDefinitions или агрегированные серверы API, чтобы расширить роли по умолчанию.

Например: следующие ClusterRoles позволяют ролям "admin" и "edit" по умолчанию управлять настраиваемым ресурсом. с именем CronTab, тогда как роль «просмотра» может выполнять только действия чтения на ресурсах CronTab. Вы можете предположить, что объекты CronTab названы "crontabs" в URL-адресах, видимых сервером API.

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: агрегат-cron-вкладки-редактировать
  ярлыки:
    # Добавьте эти разрешения к ролям по умолчанию "admin" и "edit".
    rbac.authorization.k8s.io/aggregate-to-admin: "правда"
    rbac.authorization.k8s.io/aggregate-to-edit: "правда"
правила:
- apiGroups: ["stable.example.com"]
  ресурсы: ["crontabs"]
  глаголы: ["получить", "список", "смотреть", "создать", "обновить", "патч", "удалить"]
---
вид: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
метаданные:
  имя: агрегат-cron-tabs-view
  ярлыки:
    # Добавьте эти разрешения к роли по умолчанию "просмотр".
    rbac.authorization.k8s.io/aggregate-to-view: "правда"
правила:
- apiGroups: ["stable.example.com"]
  ресурсы: ["crontabs"]
  глаголы: ["получить", "список", "смотреть"]
  

Примеры ролей

Следующие ниже примеры представляют собой выдержки из объектов Role или ClusterRole, показывающие только раздел правил .

Разрешить чтение «подов» ресурсов в ядре Группа API:

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Pod
  # объект "капсулы"
  ресурсы: ["стручки"]
  глаголы: ["получить", "список", "смотреть"]
  

Разрешить чтение / запись Развертывания (на уровне HTTP: объекты с «развертываниями» в ресурсной части своего URL-адреса) в "расширениях" и "приложениях" группы API:

  правила:
- apiGroups: ["расширения", "приложения"]
  #
  # на уровне HTTP имя ресурса для доступа к Deployment
  # объект "развертывания"
  ресурсы: ["развертывания"]
  глаголы: ["получить", "список", "смотреть", "создать", "обновить", "патч", "удалить"]
  

Разрешить чтение модулей в основной группе API, а также чтение или запись задания ресурсы в «партии» или «расширениях» Группы API:

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Pod
  # объект "капсулы"
  ресурсы: ["стручки"]
  глаголы: ["получить", "список", "смотреть"]
- apiGroups: ["пакет", "расширения"]
  #
  # на уровне HTTP имя ресурса для доступа к Job
  # объект "вакансии"
  ресурсы: ["вакансии"]
  глаголы: ["получить", "список", "смотреть", "создать", "обновить", "патч", "удалить"]
  

Разрешить чтение ConfigMap с именем "my-config" (должен быть связан с RoleBinding для ограничения одной ConfigMap в одном пространстве имен):

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к ConfigMap
  # объект "configmaps"
  ресурсы: ["configmaps"]
  resourceNames: ["my-config"]
  глаголы: ["получить"]
  

Разрешить чтение ресурса «узлов» в основной группе (поскольку Узел имеет кластерную область видимости, он должен быть в ClusterRole, привязанном к ClusterRoleBinding):

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Node
  # объект - это «узлы»
  ресурсы: ["узлы"]
  глаголы: ["получить", "список", "смотреть"]
  

Разрешить запросы GET и POST к конечной точке без ресурсов / healthz и все подпути (должны быть в ClusterRole, привязанном к ClusterRoleBinding для вступления в силу):

  правила:
- nonResourceURLs: ["/ healthz", "/ healthz / *"] # '*' в nonResourceURL - это совпадение с суффиксом glob
  глаголы: ["получить", "опубликовать"]
  

Обращение к субъектам

RoleBinding или ClusterRoleBinding связывает роль с субъектами.Субъектами могут быть группы, пользователи или ServiceAccounts.

Kubernetes представляет имена пользователей в виде строк. Это могут быть: простые имена, такие как «алиса»; имена в стиле электронной почты, например "[email protected]"; или числовые идентификаторы пользователей, представленные в виде строки. Это зависит от вас как администратора кластера для настройки модулей аутентификации так что аутентификация производит имена пользователей в желаемом формате.

Внимание: Префикс system: зарезервирован для использования системой Kubernetes, поэтому вы должны убедиться, что что у вас нет пользователей или групп с именами, начинающимися с system: by несчастный случай.Кроме этого специального префикса, система авторизации RBAC не требует никакого формата для имен пользователей.

В Kubernetes модули Authenticator предоставляют информацию о группах. Группы, как и пользователи, представлены в виде строк, и эта строка не имеет требований к формату. кроме этого префикс system: зарезервирован.

ServiceAccounts имеют имена с префиксом с system: serviceaccount: и принадлежат к группам, имена которых имеют префикс system: serviceaccounts: .

Примечание:

• system: serviceaccount: (единственное число) - это префикс для имен пользователей сервисных учетных записей.
• система: serviceaccounts: (множественное число) - это префикс для групп учетных записей служб.

Примеры RoleBinding

Следующие примеры представляют собой фрагменты RoleBinding , которые только показать предмет раздел.

Для пользователя с именем [email protected] :

  тем:
- вид: Пользователь
  name: "alice @ example.com "
  apiGroup: rbac.authorization.k8s.io
  

Для группы с именем frontend-admins :

  субъектов:
- вид: Группа
  имя: "фронтенд-админы"
  apiGroup: rbac.authorization.k8s.io
  

Для учетной записи службы по умолчанию в пространстве имен «kube-system»:

  субъектов:
- вид: ServiceAccount
  имя: по умолчанию
  пространство имен: kube-system
  

Для всех учетных записей служб в группе «qa» в любом пространстве имен:

  субъектов:
- вид: Группа
  имя: система: serviceaccounts: qa
  apiGroup: rbac.authorization.k8s.io
  

Для всех учетных записей служб в группе «dev» в пространстве имен «разработка»:

  субъектов:
- вид: Группа
  имя: система: сервисаккаунты: разработчик
  apiGroup: rbac.authorization.k8s.io
  пространство имен: разработка
  

Для всех учетных записей служб в любом пространстве имен:

  субъектов:
- вид: Группа
  имя: система: serviceaccounts
  apiGroup: rbac.authorization.k8s.io
  

Для всех авторизованных пользователей:

  субъектов:
- вид: Группа
  имя: система: аутентифицирован
  apiGroup: rbac.authorization.k8s.io
  

Для всех пользователей, не прошедших аутентификацию:

  субъектов:
- вид: Группа
  имя: система: не аутентифицировано
  apiGroup: rbac.authorization.k8s.io
  

Для всех пользователей:

  тем:
- вид: Группа
  имя: система: аутентифицирован
  apiGroup: rbac.authorization.k8s.io
- вид: Группа
  имя: система: не аутентифицировано
  apiGroup: rbac.authorization.k8s.io
  

Роли по умолчанию и привязки ролей

Серверы API создают набор объектов ClusterRole и ClusterRoleBinding по умолчанию.Многие из них относятся к системе : с префиксом , что указывает на то, что ресурс напрямую управляется плоскостью управления кластером. Все роли ClusterRoles и ClusterRoleBindings по умолчанию помечены как kubernetes.io/bootstrapping=rbac-defaults .

Внимание: Будьте осторожны при изменении ClusterRoles и ClusterRoleBindings с именами которые имеют систему : префикс . Изменения в этих ресурсах могут привести к нефункциональным кластерам.

Автоматическое согласование

При каждом запуске сервер API обновляет роли кластера по умолчанию с любыми недостающими разрешениями, и обновляет привязки ролей кластера по умолчанию с любыми недостающими субъектами.Это позволяет кластеру исправлять случайные изменения и помогает сохранить роли и привязки ролей. актуальна по мере изменения разрешений и тем в новых выпусках Kubernetes.

Чтобы отказаться от этого согласования, установите rbac.authorization.kubernetes.io/autoupdate аннотация роли кластера по умолчанию или привязка роли к false . Имейте в виду, что отсутствие разрешений и субъектов по умолчанию может привести к нефункциональным кластерам.

Автоматическое согласование включено по умолчанию, если активен авторизатор RBAC.

Роли обнаружения API

Привязки ролей по умолчанию разрешают неаутентифицированным и аутентифицированным пользователям читать информацию API, которая считается безопасной для публичного доступа (включая CustomResourceDefinitions). Чтобы отключить анонимный доступ без аутентификации, добавьте --anonymous-auth = false в конфигурацию сервера API.

Чтобы просмотреть конфигурацию этих ролей через kubectl , запустите:

  kubectl get clusterroles system: discovery -o yaml
  

Примечание: Если вы измените эту роль ClusterRole, ваши изменения будут перезаписаны при перезапуске сервера API. через автоматическое согласование.Чтобы избежать перезаписи, либо не редактируйте роль вручную, либо отключите автосогласование.

Роли обнаружения Kubernetes RBAC API

ClusterRole по умолчанию	ClusterRoleBinding по умолчанию	Описание
система: аутентифицированный	6	3					3 903 доступ только для чтения к основной информации о себе. До v1.14, эта роль также была привязана к системе: по умолчанию не аутентифицирована.
система: обнаружение	система: аутентифицированная группа	Разрешает доступ только для чтения к конечным точкам обнаружения API, необходимым для обнаружения и согласования уровня API. До версии 1.14 эта роль также была привязана к системе: по умолчанию не аутентифицирована.
система: public-info-viewer	система: аутентифицирована и система: не аутентифицирована группы	Разрешает доступ только для чтения к несекретной информации о кластере.Представлено в Kubernetes v1.14.

Роли, ориентированные на пользователя

Некоторые из ролей ClusterRoles по умолчанию не являются системными : с префиксом . Это роли, ориентированные на пользователя. Они включают роли суперпользователя ( администратор кластера ), роли, предназначенные для предоставления в масштабе всего кластера. используя ClusterRoleBindings, и роли, предназначенные для предоставления в определенных пространства имен с использованием RoleBindings ( admin , edit , view ).

Пользовательские роли ClusterRoles используют агрегацию ClusterRole, чтобы администраторы могли включать правила для настраиваемых ресурсов в этих ClusterRoles.Чтобы добавить правила к admin , edit или view ролям, создайте ClusterRole с одной или несколькими из следующих меток:

  метаданные:
  ярлыки:
    rbac.authorization.k8s.io/aggregate-to-admin: "правда"
    rbac.authorization.k8s.io/aggregate-to-edit: "правда"
    rbac.authorization.k8s.io/aggregate-to-view: "правда"
  

ClusterRole по умолчанию	ClusterRoleBinding по умолчанию	Описание
cluster-admin	system: masters действие super-	3 Разрешает доступ любой группе	3 для любой группы ресурс.При использовании в ClusterRoleBinding он дает полный контроль над каждым ресурсом в кластере и во всех пространствах имен. При использовании в RoleBinding он дает полный контроль над каждым ресурсом в пространстве имен привязки ролей, включая само пространство имен.
admin	Нет	Разрешает доступ администратора, предназначенный для предоставления в пространстве имен с помощью RoleBinding . Если используется в RoleBinding , разрешает доступ для чтения / записи к большинству ресурсов в пространстве имен, включая возможность создавать роли и привязки ролей в пространстве имен.Эта роль не разрешает доступ на запись к квоте ресурсов или к самому пространству имен.
редактировать	Нет	Разрешает доступ для чтения / записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам и запускать модули от имени любого ServiceAccount в пространство имен, поэтому его можно использовать для получения уровней доступа API любого ServiceAccount в пространство имен.
вид	Нет	Разрешает доступ только для чтения для просмотра большинства объектов в пространстве имен.Он не позволяет просматривать роли или привязки ролей. Эта роль не позволяет просматривать Секреты, так как чтение содержимое секретов обеспечивает доступ к учетным данным ServiceAccount в пространстве имен, что позволит получить доступ к API как любой ServiceAccount в пространстве имен (форма повышения привилегий).

Роли основных компонентов

ClusterRole по умолчанию	ClusterRoleBinding по умолчанию	Описание
система пользователя: kube-	система планировщика: kube-		Разрешает доступ к ресурсам, необходимым для компонента планировщика.
system: volume-scheduler	system: kube-scheduler user	Разрешает доступ к ресурсам тома, необходимым для компонента kube-scheduler.
system: kube-controller-manager	system: kube-controller-manager user	Разрешает доступ к ресурсам, необходимым для компонента диспетчера контроллеров. Разрешения, необходимые для отдельных контроллеров, подробно описаны в ролях контроллера.
система: узел	Нет	Разрешает доступ к ресурсам, необходимым для кублета, , включая доступ для чтения ко всем секретам и доступ для записи ко всем объектам статуса модуля . Вы должны использовать авторизатор узлов и подключаемый модуль допуска NodeRestriction вместо роли system: node и разрешить предоставление доступа API к кубелетам на основе запланированных на них подов. Роль система: узел существует только для совместимости с кластерами Kubernetes, обновленными с версий до v1.8.
system: node-proxier	system: kube-proxy user	Разрешает доступ к ресурсам, необходимым для компонента kube-proxy.

Другие роли компонентов

ClusterRole по умолчанию	ClusterRoleBinding по умолчанию	Описание
аутентификация делегат проверяет	делегат		авторизация	делегирует	Это обычно используется дополнительными серверами API для унифицированной аутентификации и авторизации.
система: heapster	Нет	Роль для компонента Heapster (не рекомендуется).
система: kube-aggregator	Нет	Роль для компонента kube-aggregator.
system: kube-dns	kube-dns служебная учетная запись в пространстве имен kube-system	Роль для компонента kube-dns.
система: kubelet-api-admin	Нет	Разрешает полный доступ к API kubelet.
система: узел-загрузчик	Нет	Разрешает доступ к ресурсам, необходимым для выполнения kubelet самозагрузка TLS.
система: детектор проблем узлов	Нет	Роль для компонента детектора проблем узлов.
system: persistent-volume-provisioner	Нет	Разрешает доступ к ресурсам, необходимым большинству динамических инициализаторов томов.
система: мониторинг	система: мониторинг группа	Разрешает доступ для чтения к конечным точкам мониторинга уровня управления (т.е. конечным точкам активности и готовности kube-apiserver (/ healthz, / livez, / readyz), индивидуальным конечные точки проверки работоспособности (/ healthz / *, / livez / *, / readyz / *) и / metrics). Обратите внимание, что отдельные конечные точки проверки работоспособности и конечная точка метрики могут предоставлять конфиденциальную информацию.

Роли для встроенных контроллеров

Запускается диспетчер контроллеров Kubernetes контроллеры, встроенные в Kubernetes Плоскость управления.При вызове с --use-service-account-credentials kube-controller-manager запускает каждый контроллер используя отдельную учетную запись службы. Для каждого встроенного контроллера существуют соответствующие роли с префиксом system: controller: . Если диспетчер контроллеров не запущен с --use-service-account-credentials , он запускает все контуры управления. используя свои собственные учетные данные, которым должны быть предоставлены все соответствующие роли. Эти роли включают:

• system: controller: attachdetach-controller
• system: controller: certificate-controller
• system: controller: clusterrole-aggregation-controller
• system: controller: cronjob-controller
• system: controller: daemon-set-controller
• system: controller: deployment-controller
• system: controller: disruption-controller
• система: контроллер: конечный контроллер
• system: controller: expand-controller
• system: controller: generic-garbage-collector
• system: controller: horizontal-pod-autoscaler
• system: controller: job-controller
• система: controller: namespace-controller
• system: controller: node-controller
• система: contro ller: persistent-volume-binder
• система: контроллер: сборщик мусора pod
• система: контроллер: pv-protection-controller
• система: контроллер: pvc-protection-controller
• система: контроллер: replicaset-controller
• система: контроллер: контроллер репликации
• система: контроллер: resourcequota-controller
• система: контроллер: root-ca-cert-publisher
• система: controller: route-controller
• system: controller: service-account-controller
• system: controller: service-controller
• system: controller: statefulset-controller
• система: контроллер: ttl- контроллер

Предотвращение повышения привилегий и начальная загрузка

API RBAC не позволяет пользователям повышать привилегии путем редактирования ролей o r привязки ролей.Поскольку это применяется на уровне API, оно применяется даже тогда, когда авторизатор RBAC не используется.

Ограничения на создание или обновление роли

Вы можете создать / обновить роль, только если верно хотя бы одно из следующих условий:

1. У вас уже есть все разрешения, содержащиеся в роли, в той же области, что и объект модифицируется (на уровне кластера для ClusterRole, в том же пространстве имен или на уровне кластера для роли).
2. Вам предоставлено явное разрешение на выполнение глагола эскалации для ролей или ресурса clusterroles в rbac.authorization.k8s.io Группа API.

Например, если user-1 не имеет возможности перечислить секреты для всего кластера, они не могут создать ClusterRole содержащее это разрешение. Чтобы разрешить пользователю создавать / обновлять роли:

1. Предоставьте ему роль, которая позволяет им создавать / обновлять объекты Role или ClusterRole по желанию.
2. Предоставьте им разрешение на включение определенных разрешений в роли, которые они создают / обновляют:
   • неявно, предоставляя им эти разрешения (если они попытаются создать или изменить роль или ClusterRole с разрешениями, которые им самим не предоставлены, запрос API будет запрещено)
   • или явно разрешить указание любого разрешения в роли или ClusterRole , дав им разрешение на выполнение команды эскалации для ролей или clusterroles ресурсов в rbac.authorization.k8s.io Группа API

Ограничения на создание или обновление привязки ролей

Вы можете создать / обновить привязку роли, только если у вас уже есть все разрешения, содержащиеся в указанной роли (в той же области, что и привязка роли) или , если вы авторизованы для выполнения команды привязки для указанной роли. Например, если пользователь-1 не имеет возможности перечислить секреты для всего кластера, они не могут создать привязку ClusterRoleBinding. роли, предоставляющей это разрешение.Чтобы разрешить пользователю создавать / обновлять привязки ролей:

1. Предоставьте им роль, которая позволяет им создавать / обновлять объекты RoleBinding или ClusterRoleBinding по желанию.
2. Предоставьте им разрешения, необходимые для привязки определенной роли:
   • неявно, предоставив им разрешения, содержащиеся в роли.
   • явно, дав им разрешение на выполнение глагола привязки для конкретной роли (или ClusterRole).

Например, эта ClusterRole и RoleBinding позволят user-1 предоставлять другим пользователям права admin , edit и просматривать ролей в пространстве имен user-1-namespace :

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: роль-праводатель
правила:
- apiGroups: ["rbac.authorization.k8s.io"]
  ресурсы: ["ролевые привязки"]
  глаголы: ["создать"]
- apiGroups: ["rbac.authorization.k8s.io"]
  ресурсы: ["clusterroles"]
  глаголы: ["связывать"]
  # опустить resourceNames, чтобы разрешить привязку любой ClusterRole
  resourceNames: ["админ", "редактировать", "просмотр"]
---
apiVersion: rbac.authorization.k8s.io/v1
вид: RoleBinding
метаданные:
  имя: привязка лица, предоставившего роль
  пространство имен: user-1-namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  вид: ClusterRole
  имя: роль-праводатель
предметы:
- apiGroup: rbac.authorization.k8s.io
  вид: Пользователь
  имя: пользователь-1
  

При загрузке первых ролей и привязок ролей необходимо, чтобы начальный пользователь предоставил разрешения, которых у него еще нет. Для начальной загрузки ролей и привязок ролей:

• Используйте учетные данные с группой «system: masters», которая привязана к роли суперпользователя «cluster-admin» привязками по умолчанию.
• Если ваш сервер API работает с включенным небезопасным портом ( --insecure-port ), вы также можете выполнять вызовы API через этот порт, который не требует проверки подлинности или авторизации.

Утилиты командной строки

kubectl create role

Создает объект Role, определяющий разрешения в пределах единого пространства имен. Примеры:

• Создайте роль с именем «pod-reader», которая позволяет пользователям выполнять get , смотреть и список на подах:

    kubectl create role pod-reader --verb = get - глагол = список --verb = смотреть --resource = pods
    

• Создайте роль с именем «pod-reader» с указанными resourceNames:

    kubectl create role pod-reader --verb = get --resource = pods --resource-name = readablepod --resource-name = другая капсула
    

• Создайте роль с именем «foo» с указанными apiGroups:

    kubectl create role foo --verb = get, list, watch --resource = replicasets.Программы
    

• Создайте роль с именем «foo» с разрешениями на подресурсы:

    kubectl create role foo --verb = get, list, watch --resource = pods, pods / status
    

• Создайте роль с именем «my-component-lease-holder» с разрешениями на получение / обновление ресурса с определенным именем:

    kubectl create role my-component-lease-holder --verb = get, список, смотреть, обновить --resource = lease --resource-name = my-component
    

kubectl create clusterrole

Создает ClusterRole.Примеры:

• Создайте ClusterRole с именем «pod-reader», которая позволяет пользователю выполнять get , смотреть и list на подах:

    kubectl create clusterrole pod-reader --verb = get, list , смотрите --resource = pods
    

• Создайте ClusterRole с именем «pod-reader» с указанными resourceNames:

    kubectl create clusterrole pod-reader --verb = get --resource = pods --resource-name = readablepod --resource-name = другая капсула
    

• Создайте ClusterRole с именем «foo» с указанными apiGroups:

    kubectl create clusterrole foo --verb = get, list, watch --resource = replicasets.Программы
    

• Создайте ClusterRole с именем «foo» с разрешениями на подресурсы:

    kubectl create clusterrole foo --verb = get, list, watch --resource = pods, pods / status
    

• Создайте ClusterRole с именем «foo» с указанным nonResourceURL:

    kubectl create clusterrole «foo» --verb = get --non-resource-url = / logs / *
    

• Создайте ClusterRole с именем «мониторинг» с указанным правилом агрегации:

    kubectl create clusterrole monitoring --aggregation-rule = "rbac.example.com/aggregate-to-monitoring=true "
    

kubectl create rolebinding

Предоставляет роль или ClusterRole в определенном пространстве имен. Примеры:

• В пространстве имен «acme» предоставьте разрешения в ClusterRole «admin» пользователю с именем «bob»:

    kubectl create rolebinding bob-admin-binding --clusterrole = admin --user = bob --namespace = acme
    

• В пространстве имен «acme» предоставьте разрешения в «представлении» ClusterRole учетной записи службы в пространстве имен «acme» с именем «myapp»:

    kubectl create rolebinding myapp-view-binding --clusterrole = просмотр --serviceaccount = acme: myapp --namespace = acme
    

• В пространстве имен «acme» предоставьте разрешения в «представлении» ClusterRole учетной записи службы в пространстве имен «myappnamespace» с именем «myapp»:

    kubectl create rolebinding myappnamespace-myapp-view-binding - -clusterrole = просмотр --serviceaccount = myappnamespace: myapp --namespace = acme
    

kubectl create clusterrolebinding

Предоставляет роль ClusterRole для всего кластера (всех пространств имен).Примеры:

• Для всего кластера предоставить разрешения в ClusterRole «cluster-admin» пользователю с именем «root»:

    kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole = cluster-admin --user = корень
    

• Во всем кластере предоставьте разрешения в «system: node-proxier» ClusterRole пользователю с именем «system: kube-proxy»:

    kubectl create clusterrolebinding kube-proxy-binding --clusterrole = система: node-proxier --user = system: kube-proxy
    

• Во всем кластере предоставьте разрешения в «представлении» ClusterRole учетной записи службы с именем «myapp» в пространстве имен «acme»:

    kubectl create clusterrolebinding myapp-view-binding --clusterrole = view --serviceaccount = acme: myapp
    

kubectl auth согласовать

Создает или обновляет rbac.authorization.k8s.io/v1 Объекты API из файла манифеста.

Создаются отсутствующие объекты, и при необходимости создается содержащее пространство имен для объектов с пространством имен.

Существующие роли обновлены, чтобы включить разрешения во входных объектах, и удалите лишние разрешения, если указано --remove-extra-permissions .

Существующие привязки обновляются для включения субъектов во входные объекты, и удалите лишние предметы, если указано --remove-extra-subject .

Примеры:

• Тестирование применения файла манифеста объектов RBAC, отображение изменений, которые будут внесены:

    kubectl auth reconcile -f my-rbac-rules.yaml --dry-run = client
    

• Примените файл манифеста объектов RBAC с сохранением любых дополнительных разрешений (в ролях) и любых дополнительных субъектов (в привязках):

    kubectl auth reconcile -f my-rbac-rules.yaml
    

• Примените файл манифеста объектов RBAC, удалив все дополнительные разрешения (в ролях) и любые дополнительные субъекты (в привязках):

    kubectl auth reconcile -f my-rbac-rules.yaml --remove-extra-темы --remove-extra-permissions
    

Разрешения ServiceAccount

Политики RBAC по умолчанию предоставляют разрешения с заданной областью для компонентов, узлов уровня управления, и контроллеры, но не предоставлять разрешений для сервисных учетных записей вне пространства имен kube-system (помимо разрешений на обнаружение, предоставленных всем аутентифицированным пользователям).

Это позволяет вам при необходимости назначать определенные роли определенным ServiceAccounts. Детализированные привязки ролей обеспечивают большую безопасность, но требуют больше усилий для администрирования.Более широкие гранты могут предоставить ненужный (и потенциально расширяющийся) доступ API к ServiceAccounts, но их легче администрировать.

В порядке от наиболее безопасного к наименее защищенному подходы следующие:

1. Предоставить роль учетной записи службы для конкретного приложения (передовой опыт)

   Это требует, чтобы приложение указывало serviceAccountName в своей спецификации модуля, и для создаваемой учетной записи службы (через API, манифест приложения, kubectl create serviceaccount и т. д.).

   Например, разрешить только чтение в my-namespace учетной записи службы my-sa:

     kubectl create rolebinding my-sa-view \
     --clusterrole = просмотр \
     --serviceaccount = мое-пространство имен: мое-са \
     --namespace = мое-пространство имен
     

2. Предоставить роль учетной записи службы «по умолчанию» в пространстве имен

   Если приложение не указывает serviceAccountName , оно использует учетную запись службы «по умолчанию».

   Примечание: Разрешения, предоставленные учетной записи службы «по умолчанию», доступны для любого модуля. в пространстве имен, которое не указывает serviceAccountName .

   Например, предоставить доступ только для чтения в «my-namespace» учетной записи службы «по умолчанию»:

     kubectl create rolebinding default-view \
     --clusterrole = просмотр \
     --serviceaccount = мое-пространство имен: по умолчанию \
     --namespace = мое-пространство имен
     

   Многие надстройки работают как Учетная запись службы «default» в пространстве имен kube-system . Чтобы эти надстройки запускались с правами суперпользователя, предоставьте cluster-admin разрешения для учетной записи службы «по умолчанию» в пространстве имен kube-system .

   Внимание: Включение этого параметра означает, что пространство имен kube-system содержит секреты которые предоставляют суперпользовательский доступ к API вашего кластера.

     kubectl create clusterrolebinding add-on-cluster-admin \
     --clusterrole = администратор кластера \
     --serviceaccount = kube-system: по умолчанию
     

3. Предоставить роль всем учетным записям служб в пространстве имен

   Если вы хотите, чтобы все приложения в пространстве имен имели роль, независимо от того, какую учетную запись службы они используют, вы можете предоставить роль группе учетных записей службы для этого пространства имен.

   Например, предоставить разрешение только на чтение в «my-namespace» всем учетным записям служб в этом пространстве имен:

     kubectl create rolebinding serviceaccounts-view \
     --clusterrole = просмотр \
     --group = system: serviceaccounts: my-namespace \
     --namespace = мое-пространство имен
     

4. Предоставить ограниченную роль всем учетным записям служб в масштабе кластера (не рекомендуется)

   Если вы не хотите управлять разрешениями для каждого пространства имен, вы можете предоставить роль в масштабе кластера всем учетным записям служб.

   Например, предоставить разрешение только на чтение для всех пространств имен всем учетным записям служб в кластере:

     kubectl create clusterrolebinding serviceaccounts-view \
     --clusterrole = просмотр \
    --group = system: serviceaccounts
     

5. Предоставить суперпользователю доступ ко всем сервисным учетным записям в масштабе кластера (настоятельно не рекомендуется)

   Если вас вообще не интересуют разрешения на разделение, вы можете предоставить суперпользовательский доступ ко всем сервисным учетным записям.

   Предупреждение: Это разрешает любому приложению полный доступ к вашему кластеру, а также предоставляет любой пользователь с доступом для чтения к Секретам (или возможностью создавать любые модули) полный доступ к вашему кластеру.

     kubectl create clusterrolebinding serviceaccounts-cluster-admin \
     --clusterrole = администратор кластера \
     --group = system: serviceaccounts
     

Обновление с ABAC

Часто используются кластеры, на которых изначально были запущены более старые версии Kubernetes разрешительные политики ABAC, включая предоставление полного доступа к API для всех сервисные аккаунты.

Политики RBAC по умолчанию предоставляют разрешения с определенной областью действия компонентам, узлам уровня управления, и контроллеры, но не предоставлять разрешений для сервисных учетных записей вне пространства имен kube-system (помимо разрешений на обнаружение, предоставленных всем аутентифицированным пользователям).

Хотя это намного безопаснее, это может нарушить работу существующих рабочих нагрузок, которые ожидают автоматического получения разрешений API. Вот два подхода к управлению этим переходом:

Параллельные авторизаторы

Запустите авторизаторы RBAC и ABAC и укажите файл политики, содержащий устаревшая политика ABAC:

  --authorization-mode = ..., RBAC, ABAC --authorization-policy-file = mypolicy.json
  

Чтобы подробно объяснить этот первый параметр командной строки: если более ранние авторизаторы, такие как Node, отклонить запрос, то авторизатор RBAC пытается авторизовать запрос API.Если RBAC также отклоняет этот запрос API, затем запускается авторизатор ABAC. Это означает, что любой запрос разрешено или разрешены политики RBAC или ABAC.

Когда kube-apiserver запущен с уровнем журнала 5 или выше для компонента RBAC ( --vmodule = rbac * = 5 или --v = 5 ), вы можете увидеть отказы RBAC в журнале сервера API (с префиксом RBAC ). Вы можете использовать эту информацию, чтобы определить, какие роли должны быть предоставлены каким пользователям, группам или учетным записям служб.

После назначения ролей сервисным учетным записям и рабочим нагрузкам работают без сообщений об отказе RBAC в журналах сервера, вы можете удалить авторизатор ABAC.

Разрешающие разрешения RBAC

Вы можете реплицировать разрешающую политику ABAC, используя привязки ролей RBAC.

Предупреждение:

Следующая политика позволяет ВСЕМ учетным записям служб действовать в качестве администраторов кластера. Любое приложение, работающее в контейнере, автоматически получает учетные данные учетной записи службы, и может выполнять любые действия с API, включая просмотр секретов и изменение разрешений.Это не рекомендуемая политика.

  kubectl create clusterrolebinding permissive-binding \
  --clusterrole = администратор кластера \
  --user = admin \
  --user = кубелет \
  --group = system: serviceaccounts
  

После перехода на использование RBAC необходимо настроить элементы управления доступом.