kubectl auth can-i
Synopsis
檢查某個動作是否被允許。
VERB 是一個邏輯上的 Kubernetes API 動詞,例如 'get'、'list'、'watch'、'delete' 等。TYPE 是一個 Kubernetes 資源。快捷方式和資源組將被解析。NONRESOURCEURL 是一個以 "/" 開頭的區域性 URL。NAME 是特定 Kubernetes 資源的名稱。此命令與身份模擬功能配合得很好。請參閱 --as 全域性標誌。
kubectl auth can-i VERB [TYPE | TYPE/NAME | NONRESOURCEURL]
示例
# Check to see if I can create pods in any namespace
kubectl auth can-i create pods --all-namespaces
# Check to see if I can list deployments in my current namespace
kubectl auth can-i list deployments.apps
# Check to see if service account "foo" of namespace "dev" can list pods in the namespace "prod"
# You must be allowed to use impersonation for the global option "--as"
kubectl auth can-i list pods --as=system:serviceaccount:dev:foo -n prod
# Check to see if I can do everything in my current namespace ("*" means all)
kubectl auth can-i '*' '*'
# Check to see if I can get the job named "bar" in namespace "foo"
kubectl auth can-i list jobs.batch/bar -n foo
# Check to see if I can read pod logs
kubectl auth can-i get pods --subresource=log
# Check to see if I can access the URL /logs/
kubectl auth can-i get /logs/
# Check to see if I can approve certificates.k8s.io
kubectl auth can-i approve certificates.k8s.io
# List all allowed actions in namespace "foo"
kubectl auth can-i --list --namespace=foo
Options
| -A, --all-namespaces | |
如果為 true,則在所有名稱空間中檢查指定的動作。 | |
| -h, --help | |
can-i 的幫助資訊 | |
| --list | |
如果為 true,則列印所有允許的操作。 | |
| --no-headers | |
如果為 true,則列印允許的操作,但不顯示標題 | |
| -q, --quiet | |
如果為 true,則抑制輸出,僅返回退出碼。 | |
| --subresource string | |
子資源,例如 pod/log 或 deployment/scale | |
繼承的父選項
| --as string | |
為操作假定的使用者名稱。使用者可以是常規使用者或名稱空間中的服務帳戶。 | |
| --as-group strings | |
為操作假定的組,此標誌可以重複以指定多個組。 | |
| --as-uid string | |
為操作假定的 UID。 | |
| --cache-dir string 預設值: "$HOME/.kube/cache" | |
預設快取目錄 | |
| --certificate-authority string | |
證書頒發機構的證書檔案路徑 | |
| --client-certificate string | |
TLS 的客戶端證書檔案路徑 | |
| --client-key string | |
TLS 的客戶端金鑰檔案路徑 | |
| --cluster string | |
要使用的 kubeconfig 叢集名稱 | |
| --context string | |
要使用的 kubeconfig 上下文名稱 | |
| --disable-compression | |
如果為 true,則選擇退出所有到伺服器的請求的響應壓縮 | |
| --insecure-skip-tls-verify | |
如果為 true,則不會檢查伺服器證書的有效性。這將使您的 HTTPS 連線不安全。 | |
| --kubeconfig string | |
用於 CLI 請求的 kubeconfig 檔案路徑。 | |
| --kuberc string | |
用於首選項的 kuberc 檔案路徑。可以透過匯出 KUBECTL_KUBERC=false 功能標誌或關閉 KUBERC=off 功能來停用此功能。 | |
| --match-server-version | |
要求伺服器版本與客戶端版本匹配 | |
| -n, --namespace string | |
如果存在,則為本次 CLI 請求的名稱空間範圍 | |
| --password string | |
API 伺服器基本身份驗證的密碼 | |
| --profile string 預設值: "none" | |
要捕獲的配置檔名稱。選擇之一(none|cpu|heap|goroutine|threadcreate|block|mutex) | |
| --profile-output string 預設值: "profile.pprof" | |
要將配置檔案寫入的檔案的名稱 | |
| --request-timeout string 預設值: "0" | |
在放棄單個伺服器請求之前等待的時間。非零值應包含相應的時間單位(例如 1s、2m、3h)。零值表示不超時請求。 | |
| -s, --server string | |
Kubernetes API 伺服器的地址和埠 | |
| --storage-driver-buffer-duration duration 預設值: 1m0s | |
儲存驅動程式中的寫入將緩衝此持續時間,並作為單個事務提交到非記憶體後端。 | |
| --storage-driver-db string 預設值: "cadvisor" | |
資料庫名稱 | |
| --storage-driver-host string 預設值: "localhost:8086" | |
資料庫主機:埠 | |
| --storage-driver-password string 預設值: "root" | |
資料庫密碼 | |
| --storage-driver-secure | |
使用安全的資料庫連線 | |
| --storage-driver-table string 預設值: "stats" | |
表名 | |
| --storage-driver-user string 預設值: "root" | |
資料庫使用者名稱 | |
| --tls-server-name string | |
用於伺服器證書驗證的伺服器名稱。如果未提供,則使用用於聯絡伺服器的主機名。 | |
| --token string | |
API 伺服器身份驗證的 Bearer token | |
| --user string | |
要使用的 kubeconfig 使用者名稱 | |
| --username string | |
API 伺服器基本身份驗證的使用者名稱 | |
| --version version[=true] | |
--version, --version=raw 列印版本資訊並退出;--version=vX.Y.Z... 設定報告的版本 | |
| --warnings-as-errors | |
將從伺服器收到的警告視為錯誤,並以非零退出程式碼退出。 | |
另請參閱
- kubectl auth - 檢查授權
本頁面是自動生成的。
如果你打算報告此頁面存在的問題,請在問題描述中提及此頁面是自動生成的。修復可能需要在 Kubernetes 專案的其他地方進行。