En las siguientes secciones se describen los ClusterRoles de Kubernetes que crea Kf y se enumeran los permisos que contiene cada ClusterRole.
Rol de desarrollador de espacios
El rol de desarrollador de espacio agrega los permisos que usan los desarrolladores de aplicaciones para desplegar y gestionar aplicaciones en un espacio de Kf.
Puedes consultar los permisos concedidos a los desarrolladores de Spaces en tu clúster con el siguiente comando.
kubectl describe clusterrole space-developerLa instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Rol de auditor de espacio
El rol Auditor de espacio agrega permisos de solo lectura que los auditores y las herramientas automatizadas usan para validar las aplicaciones de un espacio de Kf.
Puedes consultar los permisos concedidos a los auditores de espacios en tu clúster con el siguiente comando.
kubectl describe clusterrole space-auditorLa instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Rol de administrador del espacio
El rol de administrador del espacio agrega permisos que permiten delegar tareas a otros usuarios de un espacio de Kf.
Puedes consultar los permisos concedidos a los administradores de espacios en tu clúster con el siguiente comando.
kubectl describe clusterrole space-managerLa instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Rol de administrador del espacio dinámico
Cada espacio de Kf crea un ClusterRole con el nombre
SPACE_NAME-manager, donde
SPACE_NAME-manager se denomina rol de gestor dinámico.
Kf
asigna automáticamente el rol de gestor dinámico a nivel de clúster a todos los sujetos con el rol space-manager en el espacio. Los permisos del rol de administrador dinámico permiten a los administradores del espacio actualizar la configuración del espacio con el nombre indicado.
Puedes recuperar los permisos concedidos al rol de administrador dinámico de cualquier espacio de tu clúster mediante el siguiente comando.
kubectl describe clusterrole SPACE_NAME-managerLa instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Rol de lector de clúster de Kf
Kf asigna automáticamente el rol kf-cluster-reader a todos los usuarios de un clúster que ya tengan los roles space-developer, space-auditor o space-manager en un espacio.
Puedes recuperar los permisos concedidos a los lectores del clúster de Space Kf en tu clúster mediante el siguiente comando.
kubectl describe clusterrole kf-cluster-readerLa instalación predeterminada de Kf proporciona los siguientes permisos:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]