Rôles Kubernetes

Les sections suivantes décrivent les ClusterRoles Kubernetes créés par Kf et répertorie les autorisations contenues dans chaque objet ClusterRole.

Rôle de développeur de l'espace

Le rôle de développeur de l'espace regroupe les autorisations dont disposent les développeurs d'applications pour déployer et gérer les applications dans un espace Kf.

Vous pouvez récupérer les autorisations accordées aux développeurs d'un espace sur votre cluster à l'aide de la commande suivante.

kubectl describe clusterrole space-developer

L'installation par défaut de Kf fournit les autorisations suivantes :

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  secrets                                 []                 []              [*]
  *.kf.dev                                []                 []              [*]
  networkpolicies.networking.k8s.io       []                 []              [*]
  pods/exec                               []                 []              [create]
  *.upload.kf.dev                         []                 []              [create]
  pods/log                                []                 []              [get list watch]
  pods                                    []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

Rôle d'auditeur de l'espace

Le rôle d'auditeur de l'espace regroupe les autorisations en lecture seule que les auditeurs et les outils automatisés utilisent pour valider les applications dans un espace Kf.

Vous pouvez récupérer les autorisations accordées aux auditeurs d'un espace sur votre cluster à l'aide de la commande suivante.

kubectl describe clusterrole space-auditor

L'installation par défaut de Kf fournit les autorisations suivantes :

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names  Verbs
  ---------                               -----------------  --------------  -----
  events                                  []                 []              [*]
  apps.kf.dev                             []                 []              [get list watch]
  rolebindings.rbac.authorization.k8s.io  []                 []              [get list watch]

Rôle de gestionnaire de l'espace

Le rôle de gestionnaire de l'espace regroupe les autorisations qui permettent la délégation de tâches à d'autres utilisateurs dans un espace Kf.

Vous pouvez récupérer les autorisations accordées aux gestionnaires d'un espace sur votre cluster à l'aide de la commande suivante.

kubectl describe clusterrole space-manager

L'installation par défaut de Kf fournit les autorisations suivantes :

PolicyRule:
  Resources                               Non-Resource URLs  Resource Names     Verbs
  ---------                               -----------------  --------------     -----
  clusterroles.rbac.authorization.k8s.io  []                 [space-auditor]    [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-developer]  [bind]
  clusterroles.rbac.authorization.k8s.io  []                 [space-manager]    [bind]
  rolebindings.rbac.authorization.k8s.io  []                 []                 [get list update patch watch]
  apps.kf.dev                             []                 []                 [get list watch]

Rôle de gestionnaire dynamique de l'espace

Chaque espace Kf crée un objet ClusterRole nommé SPACE_NAME-manager, où SPACE_NAME-manager est appelé le rôle de gestionnaire dynamique.

Kf accorde automatiquement à tous les sujets avec le rôle space-manager dans l'espace le rôle de gestionnaire dynamique au niveau du cluster. Les autorisations du rôle de gestionnaire dynamique permettent aux gestionnaires de l'espace de mettre à jour les paramètres de l'espace avec le nom donné.

Vous pouvez récupérer les autorisations accordées au rôle de gestionnaire dynamique d'un espace de votre cluster à l'aide de la commande suivante.

kubectl describe clusterrole SPACE_NAME-manager

L'installation par défaut de Kf fournit les autorisations suivantes :

PolicyRule:
  Resources      Non-Resource URLs  Resource Names  Verbs
  ---------      -----------------  --------------  -----
  spaces.kf.dev  []                 [SPACE_NAME]    [get list watch update patch]

Rôle de lecteur d'un cluster Kf

Kf attribue automatiquement le rôle kf-cluster-reader à tous les utilisateurs d'un cluster qui possèdent déjà les rôles space-developer, space-auditor ou space-manager dans un espace.

Vous pouvez récupérer les autorisations accordées aux lecteurs de cluster de l'espace Kf sur votre cluster à l'aide de la commande suivante.

kubectl describe clusterrole kf-cluster-reader

L'installation par défaut de Kf fournit les autorisations suivantes :

PolicyRule:
  Resources                     Non-Resource URLs  Resource Names  Verbs
  ---------                     -----------------  --------------  -----
  namespaces                    []                 [kf]            [get list watch]
  clusterservicebrokers.kf.dev  []                 []              [get list watch]
  spaces.kf.dev                 []                 []              [get list watch]