SelfSubjectRulesReview

SelfSubjectRulesReview 枚举当前用户在命名空间中可以执行的操作集。

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SelfSubjectRulesReview

SelfSubjectRulesReview 枚举当前用户在命名空间中可以执行的操作集。返回的操作列表可能不完整,具体取决于服务器的授权模式以及评估期间发生的任何错误。UI 应使用 SelfSubjectRulesReview 来显示/隐藏操作,或者让最终用户快速了解其权限。外部系统不应使用它来驱动授权决策,因为这会引发混淆的代理、缓存生存期/撤销以及正确性问题。SubjectAccessReview 和 LocalAccessReview 是将授权决策推迟到 API 服务器的正确方法。

  • apiVersion: authorization.k8s.io/v1

  • kind: SelfSubjectRulesReview

  • metadata (ObjectMeta)

    标准列表元数据。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

  • spec (SelfSubjectRulesReviewSpec),必填

    Spec 包含有关正在评估的请求的信息。

  • status (SubjectRulesReviewStatus)

    Status 由服务器填写,并指示用户可以执行的操作集。

    SubjectRulesReviewStatus 包含规则检查的结果。此检查可能不完整,具体取决于服务器配置的授权器集以及评估期间发生的任何错误。由于授权规则是累加的,因此如果某个规则出现在列表中,则可以安全地假设该主体具有该权限,即使该列表不完整。

    • status.incomplete (boolean),必填

      当此调用返回的规则不完整时,Incomplete 为 true。当授权器(例如外部授权器)不支持规则评估时,最常见的情况是这种情况。

    • status.nonResourceRules ([]NonResourceRule),必填

      原子操作:将在合并期间被替换

      NonResourceRules 是主体被允许对非资源执行的操作列表。列表顺序并不重要,可能包含重复项,并且可能不完整。

      NonResourceRule 包含描述非资源规则的信息

      • status.nonResourceRules.verbs ([]string),必填

        原子操作:将在合并期间被替换

        Verb 是 kubernetes 非资源 API 动词的列表,例如:get、post、put、delete、patch、head、options。“*” 表示全部。

      • status.nonResourceRules.nonResourceURLs ([]string)

        原子操作:将在合并期间被替换

        NonResourceURLs 是用户应有权访问的部分 URL 集。允许使用 *,但仅作为路径中的完整最后一步。“*” 表示全部。

    • status.resourceRules ([]ResourceRule),必填

      原子操作:将在合并期间被替换

      ResourceRules 是主体被允许对资源执行的操作列表。列表顺序并不重要,可能包含重复项,并且可能不完整。

      ResourceRule 是主体被允许对资源执行的操作列表。列表顺序并不重要,可能包含重复项,并且可能不完整。

      • status.resourceRules.verbs ([]string),必填

        原子操作:将在合并期间被替换

        Verb 是 kubernetes 资源 API 动词的列表,例如:get、list、watch、create、update、delete、proxy。“*” 表示全部。

      • status.resourceRules.apiGroups ([]string)

        原子操作:将在合并期间被替换

        APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组,则允许针对任何 API 组中枚举的资源之一请求的任何操作。“*” 表示全部。

      • status.resourceRules.resourceNames ([]string)

        原子操作:将在合并期间被替换

        ResourceNames 是该规则应用于的可选名称白名单。空集表示允许所有内容。“*” 表示全部。

      • status.resourceRules.resources ([]string)

        原子操作:将在合并期间被替换

        Resources 是此规则应用于的资源列表。“*” 表示指定 apiGroups 中的所有资源。“*/foo” 表示指定 apiGroups 中所有资源的子资源“foo”。

    • status.evaluationError (string)

      EvaluationError 可以与 Rules 结合出现。它表示在规则评估期间发生错误,例如不支持规则评估的授权器,并且 ResourceRules 和/或 NonResourceRules 可能不完整。

SelfSubjectRulesReviewSpec

SelfSubjectRulesReviewSpec 定义了 SelfSubjectRulesReview 的规范。

  • namespace (string)

    用于评估规则的命名空间。必需。

操作

create 创建 SelfSubjectRulesReview

HTTP 请求

POST /apis/authorization.k8s.io/v1/selfsubjectrulesreviews

参数

响应

200 (SelfSubjectRulesReview): 正常

201 (SelfSubjectRulesReview): 已创建

202 (SelfSubjectRulesReview): 已接受

401: 未授权

此页面是自动生成的。

如果您计划报告此页面的问题,请在您的问题描述中提及该页面是自动生成的。修复可能需要在 Kubernetes 项目中的其他地方进行。

上次修改时间:2024 年 8 月 28 日下午 6:01 PST:更新 v1.31 的生成 API 参考 (8ba98c79c1)