SelfSubjectRulesReview

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SelfSubjectRulesReview

SelfSubjectRulesReview 列舉目前使用者可以在命名空間中執行的動作集。 傳回的動作清單可能不完整，取決於伺服器的授權模式，以及評估期間發生的任何錯誤。 UI 應使用 SelfSubjectRulesReview 來顯示/隱藏動作，或讓終端使用者快速推斷其權限。 外部系統不應使用它來驅動授權決策，因為這會引發混淆代理人、快取生命週期/撤銷和正確性問題。 SubjectAccessReview 和 LocalAccessReview 是將授權決策延遲到 API 伺服器的正確方法。

• apiVersion: authorization.k8s.io/v1

• kind: SelfSubjectRulesReview

• metadata (ObjectMeta)

  標準清單中繼資料。 更多資訊：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

• spec (SelfSubjectRulesReviewSpec), 必填

  Spec 保留有關正在評估之請求的資訊。

• status (SubjectRulesReviewStatus)

  Status 由伺服器填寫，並指出使用者可以執行的一組動作。

  SubjectRulesReviewStatus 包含規則檢查的結果。 此檢查可能不完整，取決於伺服器設定的授權者集，以及評估期間發生的任何錯誤。 由於授權規則是累加的，因此如果規則出現在清單中，即使該清單不完整，也可以安全地假設主體具有該權限。

  • status.incomplete (boolean), 必填

    當此呼叫傳回的規則不完整時，Incomplete 為 true。 當授權者（例如外部授權者）不支援規則評估時，最常遇到這種情況。

  • status.nonResourceRules ([]NonResourceRule), 必填

    Atomic：將在合併期間取代

    NonResourceRules 是主體被允許對非資源執行的動作清單。 清單排序並不重要，可能包含重複項目，並且可能不完整。

    NonResourceRule 保留描述非資源規則的資訊

    • status.nonResourceRules.verbs ([]string), 必填

      Atomic：將在合併期間取代

      Verb 是 Kubernetes 非資源 API 動詞的清單，例如：get、post、put、delete、patch、head、options。「*」表示全部。

    • status.nonResourceRules.nonResourceURLs ([]string)

      Atomic：將在合併期間取代

      NonResourceURLs 是使用者應有權存取的部分 URL 集。 允許 *，但僅作為路徑中的完整最終步驟。「*」表示全部。

  • status.resourceRules ([]ResourceRule), 必填

    Atomic：將在合併期間取代

    ResourceRules 是主體被允許對資源執行的動作清單。 清單排序並不重要，可能包含重複項目，並且可能不完整。

    ResourceRule 是主體被允許對資源執行的動作清單。 清單排序並不重要，可能包含重複項目，並且可能不完整。

    • status.resourceRules.verbs ([]string), 必填

      Atomic：將在合併期間取代

      Verb 是 Kubernetes 資源 API 動詞的清單，例如：get、list、watch、create、update、delete、proxy。「*」表示全部。

    • status.resourceRules.apiGroups ([]string)

      Atomic：將在合併期間取代

      APIGroups 是包含資源的 APIGroup 名稱。 如果指定多個 API 群組，則允許對任何 API 群組中列舉的資源之一請求的任何動作。「*」表示全部。

    • status.resourceRules.resourceNames ([]string)

      Atomic：將在合併期間取代

      ResourceNames 是規則套用到的名稱的可選允許清單。 空集合表示允許所有項目。「*」表示全部。

    • status.resourceRules.resources ([]string)

      Atomic：將在合併期間取代

      Resources 是此規則套用到的資源清單。「*」表示指定 apiGroups 中的全部。「*/foo」代表指定 apiGroups 中所有資源的子資源「foo」。

  • status.evaluationError (string)

    EvaluationError 可能與規則一起出現。 它表示規則評估期間發生錯誤，例如不支援規則評估的授權者，以及 ResourceRules 和/或 NonResourceRules 可能不完整。

SelfSubjectRulesReviewSpec

SelfSubjectRulesReviewSpec 定義 SelfSubjectRulesReview 的規格。

• namespace (string)

  要評估規則的命名空間。 必填。

操作

create 建立 SelfSubjectRulesReview

HTTP 請求

POST /apis/authorization.k8s.io/v1/selfsubjectrulesreviews

參數

• body: SelfSubjectRulesReview, 必填

• dryRun (在查詢中): string

  dryRun

• fieldManager (在查詢中): string

  fieldManager

• fieldValidation (在查詢中): string

  fieldValidation

• pretty (在查詢中): string

  pretty

回應

200 (SelfSubjectRulesReview): 確定

201 (SelfSubjectRulesReview): 已建立

202 (SelfSubjectRulesReview): 已接受

401: 未經授權