SubjectAccessReview

    SubjectAccessReview 检查用户或组是否可以执行某操作。

    • apiVersion: authorization.k8s.io/v1

    • kind: SubjectAccessReview

    • metadata ()

    标准的列表元数据。更多信息: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

    • status ()

      status 由服务器填写,表示请求是否被允许。

    SubjectAccessReviewSpec 是访问请求的描述。 resourceAuthorizationAttributes 和 nonResourceAuthorizationAttributes 二者必须设置其一,并且只能设置其一。

    • extra (map[string][]string)

      extra 对应于来自鉴权器的 user.Info.GetExtra() 方法。 由于这是针对 Authorizer 的输入,所以它需要在此处反映。

    • groups ([]string)

      groups 是你正在测试的组。

    • nonResourceAttributes (NonResourceAttributes)

      nonResourceAttributes 描述非资源访问请求的信息。

      nonResourceAttributes 包括提供给 Authorizer 接口进行非资源请求鉴权时所用的属性。

      • nonResourceAttributes.path (string)

        path 是请求的 URL 路径。

      • verb 是标准的 HTTP 动作。

    • resourceAttributes (ResourceAttributes)

      resourceAuthorizationAttributes 描述资源访问请求的信息。

      resourceAttributes 包括提供给 Authorizer 接口进行资源请求鉴权时所用的属性。

      • resourceAttributes.group (string)

        group 是资源的 API 组。 “*“ 表示所有资源。

      • resourceAttributes.name (string)

        name 是 “get” 正在请求或 “delete” 已删除的资源。 “”(空字符串)表示所有资源。

    • resourceAttributes.namespace (string)

      namespace 是正在请求的操作的命名空间。 目前,无命名空间和所有命名空间之间没有区别。 对于 LocalSubjectAccessReviews,默认为 “”(空字符串)。 对于集群范围的资源,默认为 “”(空字符串)。 对于来自 SubjectAccessReview 或 SelfSubjectAccessReview 的命名空间范围的资源, “”(空字符串)表示 “all”(所有资源)。

    • resourceAttributes.resource (string)

      resource 是现有的资源类别之一。 “*“ 表示所有资源类别。

    • resourceAttributes.verb (string)

      verb 是 kubernetes 资源的 API 动作,例如 get、list、watch、create、update、delete、proxy。 “*“ 表示所有动作。

    • resourceAttributes.version (string)

      version 是资源的 API 版本。 “*“ 表示所有版本。

    • uid (string)

      有关正在请求的用户的 UID 信息。

    • user (string)

    SubjectAccessReviewStatus

    • allowed (boolean),必需

      allowed 是必需的。 如果允许该操作,则为 true,否则为 false。

    • denied (boolean)

      denied 是可选的。 如果拒绝该操作,则为 true,否则为 false。 如果 allowed 和 denied 均为 false,则 Authorizer 对是否鉴权操作没有意见。 如果 allowed 为 true,则 denied 不能为 true。

    • evaluationError (string)

      evaluationError 表示鉴权检查期间发生一些错误。 出现错误的情况下完全有可能继续确定鉴权状态。 例如,RBAC 可能缺少一个角色,但仍存在足够多的角色进行绑定,进而了解请求有关的原因。

    • reason (string)

      reason 是可选的。 它表示为什么允许或拒绝请求。

    HTTP 请求

    POST /apis/authorization.k8s.io/v1/subjectaccessreviews

    参数

    响应

    200 (): OK

    201 (SubjectAccessReview): Created

    401: Unauthorized