En las siguientes secciones, se describen los ClusterRoles de Kubernetes que crea Kf y se enumeran los permisos que contiene cada ClusterRole.
Función de desarrollador de espacios
La función de desarrollador de espacios agrega permisos que los desarrolladores de aplicaciones usan para implementar y administrar aplicaciones dentro de un espacio de Kf.
Puedes recuperar los permisos otorgados a los desarrolladores de espacios en tu clúster con el siguiente comando.
kubectl describe clusterrole space-developer
La instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Función de auditor de espacios
La función de auditor de espacios agrega permisos de solo lectura que los auditores y las herramientas automatizadas usan para validar aplicaciones dentro de un espacio de Kafka.
Puedes recuperar los permisos otorgados a los auditores de espacio de tu clúster con el siguiente comando.
kubectl describe clusterrole space-auditor
La instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Función de administrador de espacios
La función de administrador de espacios agrega permisos que permiten la delegación de obligaciones a otros dentro de un espacio de Kf.
Puedes recuperar los permisos otorgados a los administradores del espacio de tu clúster con el siguiente comando.
kubectl describe clusterrole space-manager
La instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Función de administrador dinámico de espacios
Cada espacio de Kf crea un ClusterRole con el nombre SPACE_NAME-manager, en el que SPACE_NAME-manager se llama la función de administrador dinámico.
Kf otorga de forma automática a todos los sujetos con la función space-manager dentro del espacio la función de administrador dinámico a nivel del clúster. Los permisos de la función de administrador dinámico permiten a los administradores de espacios actualizar la configuración del espacio en el nombre específico.
Puedes recuperar los permisos otorgados a la función de administrador dinámico para cualquier espacio en tu clúster mediante el siguiente comando.
kubectl describe clusterrole SPACE_NAME-manager
La instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Función de lector de clústeres de Kf
Kf otorga de forma automática la función kf-cluster-reader a todos los usuarios en un clúster que ya tengan la función space-developer, space-auditor o space-manager dentro de un espacio.
Puedes recuperar los permisos otorgados a los lectores de clústeres de Space Kf en tu clúster con el siguiente comando.
kubectl describe clusterrole kf-cluster-reader
La instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]