我的书签
添加书签
移除书签RBAC 约束和属性(不建议使用)
本节包含支持格式化的键和值,你可以将其用作于服务角色和服务角色绑定配置对象中的约束和属性。约束和属性是额外的条件,你可以指定配置对象 kind: 字段的值为 ServiceRole 或 ServiceRoleBinding,以指定详细的访问控制要求。
不支持的键和值将被忽略。
下表列出了该 constraints 字段当前支持的键:
支持的属性
下表列出了该 properties 字段当前支持的键:
| 名称 | 描述 | 是否支持 TCP 协议 | 示例键 | 示例值 |
|---|---|---|---|---|
source.ip | 源 IP 地址,支持单个 IP 或 CIDR | YES | source.ip | “10.1.2.3” |
| 源负载实例命名空间 | YES | source.namespace | “default” | |
source.principal | 源负载的标识 | YES | source.principal | “cluster.local/ns/default/sa/productpage” |
request.headers | HTTP 请求头,需要用 [] 括起来 | NO | request.headers[User-Agent] | “Mozilla/“ |
request.auth.principal | 已认证过 principal 的请求。 | NO | request.auth.principal | “accounts.my-svc.com/104958560606” |
request.auth.audiences | 此身份验证信息的目标主体 | NO | request.auth.audiences | “my-svc.com” |
request.auth.presenter | 证书的颁发者 | NO | request.auth.presenter | “123456789012.my-svc.com” |
request.auth.claims | Claims 来源于 JWT。需要用 [] 括起来 | NO | request.auth.claims[iss] | “@foo.com” |
