SelfSubjectRulesReview

SelfSubjectRulesReview 列舉當前使用者在一個名稱空間內可以執行的操作集合。

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SelfSubjectRulesReview

SelfSubjectRulesReview 列舉當前使用者在一個名稱空間內可以執行的操作集合。返回的操作列表可能不完整,這取決於伺服器的授權模式以及在評估過程中遇到的任何錯誤。SelfSubjectRulesReview 應由 UI 用於顯示/隱藏操作,或者讓終端使用者快速瞭解他們的許可權。它不應該被外部系統用於驅動授權決策,因為這會引發混淆代理、快取生命週期/撤銷以及正確性問題。SubjectAccessReview 和 LocalAccessReview 是將授權決策推遲到 API 伺服器的正確方式。

  • apiVersion: authorization.k8s.io/v1

  • kind: SelfSubjectRulesReview

  • metadata (ObjectMeta)

    標準列表元資料。更多資訊:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

  • spec (SelfSubjectRulesReviewSpec),必需

    Spec 包含有關正在評估的請求的資訊。

  • status (SubjectRulesReviewStatus)

    Status 由伺服器填充,指示使用者可以執行的操作集。

    SubjectRulesReviewStatus 包含規則檢查的結果。此檢查可能不完整,具體取決於伺服器配置的授權器集以及評估過程中遇到的任何錯誤。由於授權規則是累加的,如果規則出現在列表中,即使該列表不完整,也可以安全地假定主體擁有該許可權。

    • status.incomplete (布林值),必需

      當此呼叫返回的規則不完整時,Incomplete 為 true。這最常見於授權器(例如外部授權器)不支援規則評估的情況。

    • status.nonResourceRules ([]NonResourceRule),必需

      原子性:在合併期間將被替換

      NonResourceRules 是主體被允許對非資源執行的操作列表。列表順序不重要,可能包含重複項,並且可能不完整。

      NonResourceRule 包含描述非資源規則的資訊

      • status.nonResourceRules.verbs ([]string),必需

        原子性:在合併期間將被替換

        Verb 是 Kubernetes 非資源 API 動詞的列表,例如:get、post、put、delete、patch、head、options。“*”表示所有。

      • status.nonResourceRules.nonResourceURLs ([]string)

        原子性:在合併期間將被替換

        NonResourceURLs 是一組使用者應該有權訪問的部分 URL。“*”允許作為路徑的完整最終步驟。“*”表示所有。

    • status.resourceRules ([]ResourceRule),必需

      原子性:在合併期間將被替換

      ResourceRules 是主體被允許對資源執行的操作列表。列表順序不重要,可能包含重複項,並且可能不完整。

      ResourceRule 是主體被允許對資源執行的操作列表。列表順序不重要,可能包含重複項,並且可能不完整。

      • status.resourceRules.verbs ([]string),必需

        原子性:在合併期間將被替換

        Verb 是 Kubernetes 資源 API 動詞的列表,例如:get、list、watch、create、update、delete、proxy。“*”表示所有。

      • status.resourceRules.apiGroups ([]string)

        原子性:在合併期間將被替換

        APIGroups 是包含資源的 APIGroup 的名稱。如果指定了多個 API 組,則允許對任何 API 組中列舉資源之一的任何請求操作。“*”表示所有。

      • status.resourceRules.resourceNames ([]string)

        原子性:在合併期間將被替換

        ResourceNames 是規則適用的可選名稱白名單。空集表示允許所有。“*”表示所有。

      • status.resourceRules.resources ([]string)

        原子性:在合併期間將被替換

        Resources 是此規則適用的資源列表。“*”表示指定 apiGroups 中的所有。“*/foo”表示指定 apiGroups 中所有資源的子資源“foo”。

    • status.evaluationError (string)

      EvaluationError 可以與 Rules 結合出現。它表示在規則評估期間發生錯誤,例如授權器不支援規則評估,並且 ResourceRules 和/或 NonResourceRules 可能不完整。

SelfSubjectRulesReviewSpec

SelfSubjectRulesReviewSpec 定義了 SelfSubjectRulesReview 的規範。

  • namespace (string)

    用於評估規則的名稱空間。必需。

操作

create 建立 SelfSubjectRulesReview

HTTP 請求

POST /apis/authorization.k8s.io/v1/selfsubjectrulesreviews

引數

響應

200 (SelfSubjectRulesReview): OK

201 (SelfSubjectRulesReview): Created

202 (SelfSubjectRulesReview): Accepted

401: 未授權

本頁面是自動生成的。

如果你打算報告此頁面存在的問題,請在問題描述中提及此頁面是自動生成的。修復可能需要在 Kubernetes 專案的其他地方進行。

上次修改時間:2024年8月28日太平洋標準時間下午6:01:更新了v1.31的生成的API參考 (8ba98c79c1)