Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Permissões padrão do Config Sync

Veja nesta página as permissões padrão que o Config Sync e os componentes dele precisam para ter acesso correto no nível do cluster.

Permissões padrão

A tabela a seguir lista as permissões que o Config Sync ativa por padrão. Não desative essas permissões enquanto o Config Sync estiver em uso.

Essas permissões se aplicam ao Anthos Config Management versões 1.11.1 e mais recentes.

Componente Namespace Conta de serviço Permissões Descrição
reconciler-manager config-management-system reconciler-manager cluster-admin Para provisionar os reconciliadores raiz e criar o ClusterRoleBinding para esses reconciliadores, o reconciler-manager precisa ter a permissão cluster-admin.
root reconcilers config-management-system Nome do reconciliador raiz cluster-admin Para aplicar recursos personalizados com escopo de cluster, os reconciliadores raiz precisam ter a permissão cluster-admin.
namespace reconcilers config-management-system Nome do reconciliador de namespace configsync.gke.io:ns-reconciler Para receber e atualizar os objetos RepoSync e ResourceGroup e os respectivos status, os reconciliadores de namespace precisam da permissão configsync.gke.io:ns-reconciler.
resource-group-controller-manager config-management-system resource-group-sa Para verificar o status do objeto e ativar a eleição de líder, o resource-group-controller-manager precisa dos papéis resource-group-manager-role e resource-group-leader-election-role.
admission-webhook config-management-system admission-webhook cluster-admin Para recusar solicitações a qualquer objeto no cluster, o webhook de admissão precisa da permissão cluster-admin.
importer config-management-system importer cluster-admin Para definir permissões do RBAC, o importer precisa ter a permissão de administrador do cluster.

Permissões específicas do Config Sync

As seções a seguir detalham as permissões configsync.gke.io:ns-reconciler e resource-group-manager-role resource-group-leader-election-role listadas na tabela anterior.

O Config Sync aplica essas permissões automaticamente incluindo os ClusterRoles a seguir nos manifestos do reconciliador de namespace e do controlador de grupos de recursos.

RBAC para reconciliadores de namespace

O ClusterRole abaixo mostra as permissões de controle de acesso com base no papel para reconciliadores de namespace:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: configsync.gke.io:ns-reconciler
  labels:
    configmanagement.gke.io/system: "true"
    configmanagement.gke.io/arch: "csmr"
rules:
- apiGroups: ["configsync.gke.io"]
  resources: ["reposyncs"]
  verbs: ["get"]
- apiGroups: ["configsync.gke.io"]
  resources: ["reposyncs/status"]
  verbs: ["get","list","update"]
- apiGroups: ["kpt.dev"]
  resources: ["resourcegroups"]
  verbs: ["*"]
- apiGroups: ["kpt.dev"]
  resources: ["resourcegroups/status"]
  verbs: ["*"]
- apiGroups:
  - policy
  resources:
  - podsecuritypolicies
  resourceNames:
  - acm-psp
  verbs:
  - use

RBAC para o controlador de grupo de recursos

O ClusterRole abaixo mostra as permissões de controle de acesso com base no papel para o controlador de grupos de recursos:

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  creationTimestamp: null
  labels:
    configmanagement.gke.io/arch: "csmr"
    configmanagement.gke.io/system: "true"
  name: resource-group-manager-role
rules:
# This permission is needed to get the status for managed resources
- apiGroups:
  - '*'
  resources:
  - '*'
  verbs:
  - get
  - list
  - watch
# This permission is needed to watch/unwatch types as they are registered or removed.
- apiGroups:
  - apiextensions.k8s.io
  resources:
  - customresourcedefinitions
  verbs:
  - get
  - list
  - watch
# This permission is needed so that the ResourceGroup controller can reconcile a ResourceGroup CR
- apiGroups:
  - kpt.dev
  resources:
  - resourcegroups
  verbs:
  - create
  - delete
  - get
  - list
  - patch
  - update
  - watch
# This permission is needed so that the ResourceGroup controller can update the status of a ResourceGroup CR
- apiGroups:
  - kpt.dev
  resources:
  - resourcegroups/status
  verbs:
  - get
  - patch
  - update
# This permission is needed so that the ResourceGroup controller can work on a cluster with PSP enabled
- apiGroups:
  - policy
  resourceNames:
  - acm-psp
  resources:
  - podsecuritypolicies
  verbs:
  - use
---
apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  labels:
    configmanagement.gke.io/arch: "csmr"
    configmanagement.gke.io/system: "true"
  name: resource-group-leader-election-role
  namespace: resource-group-system
rules:  // The following permissions are needed so that the leader election can work
- apiGroups:
  - ""
  resources:
  - configmaps
  verbs:
  - get
  - list
  - watch
  - create
  - update
  - patch
  - delete
- apiGroups:
  - ""
  resources:
  - configmaps/status
  verbs:
  - get
  - update
  - patch
- apiGroups:
  - ""
  resources:
  - events
  verbs:
  - create
- apiGroups:
  - coordination.k8s.io
  resources:
  - leases
  verbs:
  - '*'