As seções a seguir descrevem os ClusterRoles do Kubernetes criados pelo Kf e listam as permissões contidas em cada ClusterRole.
Papel de desenvolvedor do Space
O papel de desenvolvedor do Space agrega as permissões que os desenvolvedores de aplicativos usam para implantar e gerenciar aplicativos em um Space no Kf.
Use o comando a seguir para recuperar as permissões concedidas aos desenvolvedores do Space do cluster.
kubectl describe clusterrole space-developerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Papel de auditor do Space
O papel de auditor do Space agrega permissões somente leitura que os auditores e as ferramentas automatizadas usam para validar aplicativos dentro de um Space do Kf.
Use o comando a seguir para recuperar as permissões concedidas aos auditores do Space no cluster.
kubectl describe clusterrole space-auditorA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Papel de administrador do Space
O papel de administrador do Space agrega permissões que permitem a delegação de tarefas a outras pessoas em um Space do Kf.
Para recuperar as permissões concedidas aos administradores do Space no cluster, use o comando a seguir.
kubectl describe clusterrole space-managerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Papel de gerente dinâmico do Space
Cada Space do Kf cria um ClusterRole com o nome
SPACE_NAME-manager, em que
SPACE_NAME-manager é chamado de papel de gerente dinâmico.
O Kf
concede automaticamente a todos os indivíduos o papel space-manager no
Space, o papel de gerente dinâmico no escopo do cluster. Com as permissões do
papel de gerente dinâmico, os gerentes do Space podem atualizar as configurações no Space com
o nome fornecido.
Use o comando a seguir para recuperar as permissões concedidas ao papel de gerenciador dinâmico de qualquer Space no cluster.
kubectl describe clusterrole SPACE_NAME-managerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Papel de leitor de cluster do Kf
O Kf concede automaticamente o papel kf-cluster-reader a todos os usuários em um
cluster que já tem o papel space-developer, space-auditor ou space-manager
em um Space.
É possível recuperar as permissões concedidas aos leitores de cluster do Space do Kf em seu cluster usando o comando a seguir.
kubectl describe clusterrole kf-cluster-readerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]