|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
ロール(役割)ベースのアクセス制御
|
Rancher-IstioはRancher v2.12.0以降廃止されました。セキュリティを強化するために、 SUSE Application CollectionのIstioビルドに切り替えてください(SUSE Rancher Primeサブスクリプションに含まれています)。 詳細情報は この発表に記載されています。 |
このセクションでは、Istio機能にアクセスするために必要な権限について説明します。
Rancher Istioチャートは、3つの`ClusterRoles`をインストールします。
クラスター管理者アクセス
デフォルトでは、cluster-admin `ClusterRole`を持つ者のみが次のことを行うことができます:
-
クラスターにistioアプリをインストールする
-
Istioのリソース割り当てを構成する
管理者および編集アクセス
デフォルトでは、管理者および編集ロールのみが次のことを行うことができます:
-
ネームスペースのIstioサイドカー自動インジェクションを有効または無効にする
-
ワークロードにIstioサイドカーを追加する
-
クラスターのトラフィックメトリクスとトラフィックグラフを表示する
-
Istioのリソース(ゲートウェイ、デスティネーションルール、または仮想サービスなど)を構成する
Kubernetesのデフォルトロールに対するデフォルト権限の概要
Istioは3つの`ClusterRoles`を作成し、次のデフォルトのK8s `ClusterRole`にIstio CRDアクセスを追加します:
| チャートによって作成されたClusterRole | デフォルトのK8s ClusterRole | Rancherロール |
|---|---|---|
|
admin |
プロジェクト所有者 |
|
編集 |
プロジェクトメンバー |
|
view |
読み込み専用 |
Rancherは、cluster-owner、cluster-member、project-owner、project-memberなどをロール名として引き続き使用しますが、アクセスを決定するためにデフォルトロールを利用します。各デフォルトのK8s `ClusterRole`には、異なるIstio CRDの権限とK8sのアクション(作成(C)、取得(G)、リスト(L)、監視(W)、更新(U)、パッチ(P)、削除(D)、すべて(*))が実行できます。
| CRDs | 管理者 | 次のファイルを編集します。 | 表示 |
|---|---|---|---|
<ul><li> |
GLW |
GLW |
GLW |
<ul><li> |
* |
* |
GLW |
<ul><li> |
* |
* |
GLW |