Kubernetesエンジンの詳細
このトピックでは、Kubernetesエンジンへのアクセスを制御するためのポリシーの書込みの詳細を説明します。
リソース・タイプ
集約リソース・タイプ
-
cluster-family
個々のリソース・タイプ
-
clusters -
cluster-node-pools -
cluster-pod-shapes -
cluster-virtualnode-pools -
cluster-work-requests -
cluster-workload-mappings
コメント
<verb> cluster-familyを使用するポリシーは、個々のリソース・タイプごとに個別の<verb> <individual resource-type>ステートメントを使用して記述することと同じです。
cluster-familyに含まれる個々のリソース・タイプについて、各動詞でカバーされているAPI操作の詳細は、動詞とリソース・タイプの組合せの詳細の表を参照してください。
サポートされている変数
Kubernetesエンジンは、すべての一般的な変数(「すべてのリクエストの一般的な変数」を参照)とここにリストされている変数の他に、これらをサポートしています。
clustersリソース・タイプには次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.cluster.id
|
エンティティ(OCID) |
cluster-node-poolsリソース・タイプには次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.nodepool.id
|
エンティティ(OCID) |
cluster-virtual-node-poolsリソース・タイプには次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.virtualnodepool.id
|
エンティティ(OCID) | |
target.cluster.id
|
エンティティ(OCID) |
cluster-workload-mappingsリソース・タイプでは、次の変数を使用できます。
| 変数 | 変数タイプ | コメント |
|---|---|---|
target.clusterworkloadmapping.id
|
エンティティ(OCID) | |
target.mapping.cluster_id
|
エンティティ(OCID) |
動詞とリソース・タイプの組合せの詳細
次の表に、各動詞でカバーされている権限およびAPI操作を示します。アクセス・レベルは、inspect > read > use > manageの順に累積されます。たとえば、リソースを使用できるグループは、そのリソースを検査して読み取ることもできます。表セル内のプラス記号(+)は、その上のセルと比較して増分アクセスを示しますが、「余分なし」は増分アクセスを示しません。
たとえば、clustersリソース・タイプに対するread動詞には、inspect動詞と同じ権限およびAPI操作に加え、CLUSTER_READ権限と多数のAPI操作(GetClusterなど)が含まれます。use動詞は、readと比較して引き続き別の権限とAPI操作をカバーします。最後に、manageではuseと比較してより多くの権限および操作をカバーします。
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CLUSTER_INSPECT |
|
なし |
| read |
INSPECT + CLUSTER_READ |
INSPECT +
|
なし |
| use |
READ + CLUSTER_USE |
READ +
|
なし |
| manage |
USE + CLUSTER_CREATE CLUSTER_DELETE CLUSTER_UPDATE CLUSTER_MANAGE CLUSTER_JOIN |
USE +
|
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CLUSTER_NODE_POOL_INSPECT |
|
なし |
| read |
INSPECT + CLUSTER_NODE_POOL_READ |
INSPECT +
|
なし |
| use |
余分なし |
余分なし |
なし |
| manage |
USE + CLUSTER_NODE_POOL_CREATE CLUSTER_NODE_POOL_DELETE CLUSTER_NODE_POOL_UPDATE |
余分なし |
CreateNodePool、DeleteNodePoolおよびUpdateNodePool(manage instance-family、use subnets、use vnicsおよびinspect compartmentsも必要)
|
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
なし |
| read |
余分なし |
余分なし |
なし |
| use |
余分なし |
余分なし |
なし |
| manage |
余分なし |
余分なし |
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
|
なし |
| read |
INSPECT + CLUSTER_VIRTUAL_NODE_POOL_READ |
INSPECT +
|
なし |
| use |
余分なし |
余分なし |
なし |
| manage |
USE + CLUSTER_VIRTUAL_NODE_POOL_CREATE CLUSTER_VIRTUAL_NODE_POOL_UPDATE CLUSTER_VIRTUAL_NODE_POOL_DELETE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CLUSTER_WORK_REQUEST_INSPECT |
ListWorkRequests
|
なし |
| read |
INSPECT + CLUSTER_WORK_REQUEST_READ |
INSPECT +
|
なし |
| use |
余分なし |
余分なし |
なし |
| manage |
USE + CLUSTER_WORK_REQUEST_DELETE |
USE +
|
なし |
| 動詞 | 権限 | 完全に対象となるAPI | 部分的に対象となるAPI |
|---|---|---|---|
| inspect |
CLUSTER_WORKLOAD_MAPPING_INSPECT |
ListWorkloadMappings
|
なし |
| read |
INSPECT + CLUSTER_WORKLOAD_MAPPING_READ |
INSPECT +
|
なし |
| use |
READ + CLUSTER_WORKLOAD_MAPPING_UPDATE CLUSTER_WORKLOAD_COMPARTMENT_BIND CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
|
なし |
| manage |
USE + CLUSTER_WORKLOAD_MAPPING_CREATE CLUSTER_WORKLOAD_MAPPING_DELETE |
USE +
|
なし |
各API操作に必要な権限
次の表は、API操作を論理的な順序で、リソース・タイプ別にグループ化して示しています。権限の詳細は、権限を参照してください。
| API操作 | 操作の使用に必要な権限 |
|---|---|
ListClusters
|
CLUSTER_INSPECT |
CreateCluster
|
CLUSTER_CREATE |
CreateKubeconfig
|
CLUSTER_USE |
GetCluster
|
CLUSTER_READ |
UpdateCluster
|
CLUSTER_UPDATE |
JoinCluster
|
CLUSTER_MANAGE |
DeleteCluster
|
CLUSTER_DELETE、CLUSTER_NODE_POOL_DELETE |
UpdateClusterEndpointConfig
|
CLUSTER_MANAGE |
AdministerK8s
|
CLUSTER_MANAGE |
GetCredentialRotationStatus
|
CLUSTER_READ |
StartCredentialRotation
|
CLUSTER_UPDATE |
CompleteCredentialRotation
|
CLUSTER_UPDATE |
ListNodePools
|
CLUSTER_NODE_POOL_INSPECT |
CreateNodePool
|
CLUSTER_NODE_POOL_CREATE |
GetNodePool
|
CLUSTER_NODE_POOL_READ |
GetNodePoolOptions
|
CLUSTER_READ |
UpdateNodePool
|
CLUSTER_NODE_POOL_UPDATE |
DeleteNodePool
|
CLUSTER_NODE_POOL_DELETE |
ListWorkRequests
|
CLUSTER_WORK_REQUEST_INSPECT、CLUSTER_NODE_POOL_INSPECT、CLUSTER_INSPECT |
GetWorkRequest
|
CLUSTER_WORK_REQUEST_READ、CLUSTER_NODE_POOL_READ、CLUSTER_READ |
ListWorkRequestErrors
|
CLUSTER_WORK_REQUEST_READ、CLUSTER_NODE_POOL_READ、CLUSTER_READ |
ListWorkRequestLogs
|
CLUSTER_WORK_REQUEST_READ、CLUSTER_NODE_POOL_READ、CLUSTER_READ |
DeleteWorkRequest
|
CLUSTER_WORK_REQUEST_DELETE |
ListVirtualNodePools
|
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
CreateVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_CREATE |
UpdateVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
DeleteVirtualNodePool
|
CLUSTER_VIRTUAL_NODE_POOL_DELETE |
ListVirtualNodes
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
GetVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListPodShapes
|
CLUSTER_VIRTUAL_NODE_POOL_INSPECT |
GetVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
ListVirtualNodes
|
CLUSTER_VIRTUAL_NODE_POOL_READ |
DeleteVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
UpdateVirtualNode
|
CLUSTER_VIRTUAL_NODE_POOL_UPDATE |
ListAddons
|
CLUSTER_READ |
GetAddon
|
CLUSTER_READ |
UpdateAddon
|
CLUSTER_UPDATE |
DisableAddon
|
CLUSTER_UPDATE |
InstallAddon
|
CLUSTER_UPDATE |
ListWorkloadMappings
|
CLUSTER_WORKLOAD_MAPPING_INSPECT |
GetWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_READ |
CreateWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_CREATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND |
UpdateWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_UPDATE, CLUSTER_WORKLOAD_COMPARTMENT_BIND, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |
DeleteWorkloadMapping
|
CLUSTER_WORKLOAD_MAPPING_DELETE, CLUSTER_WORKLOAD_COMPARTMENT_UNBIND |