As secções seguintes descrevem os ClusterRoles do Kubernetes criados pelo Kf e enumeram as autorizações contidas em cada ClusterRole.
Função de programador do espaço
A função de programador do espaço agrega as autorizações que os programadores de aplicações usam para implementar e gerir aplicações num espaço do Kf.
Pode obter as autorizações concedidas aos programadores de espaços no seu cluster através do seguinte comando.
kubectl describe clusterrole space-developerA instalação predefinida do Kf fornece as seguintes autorizações:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Função de auditor do espaço
A função Auditor do espaço agrega autorizações de leitura que os auditores e as ferramentas automatizadas usam para validar as aplicações num espaço do Kf.
Pode obter as autorizações concedidas aos auditores do espaço no seu cluster através do seguinte comando.
kubectl describe clusterrole space-auditorA instalação predefinida do Kf fornece as seguintes autorizações:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Função de gestor do espaço
A função de gestor do espaço agrega autorizações que permitem a delegação de deveres a outras pessoas num espaço do Kf.
Pode obter as autorizações concedidas aos gestores do espaço no seu cluster através do seguinte comando.
kubectl describe clusterrole space-managerA instalação predefinida do Kf fornece as seguintes autorizações:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Função de gestor do espaço dinâmico
Cada espaço Kf cria uma ClusterRole com o nome
SPACE_NAME-manager, em que
SPACE_NAME-manager é denominada função de gestor dinâmico.
O Kf concede automaticamente a todos os sujeitos com a função space-manager no espaço a função de gestor dinâmico ao nível do cluster. As autorizações da função de gestor dinâmico permitem que os gestores do espaço atualizem as definições no espaço com o nome indicado.
Pode obter as autorizações concedidas à função de gestor dinâmico para qualquer espaço no cluster através do seguinte comando.
kubectl describe clusterrole SPACE_NAME-managerA instalação predefinida do Kf fornece as seguintes autorizações:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Função de leitor do cluster do Kf
O Kf concede automaticamente a função kf-cluster-reader a todos os utilizadores num cluster que já tenham a função space-developer, space-auditor ou space-manager num espaço.
Pode obter as autorizações concedidas aos leitores do cluster do espaço Kf no seu cluster através do seguinte comando.
kubectl describe clusterrole kf-cluster-readerA instalação predefinida do Kf fornece as seguintes autorizações:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]