Знаки пдд рб: Интерактивные Правила дорожного движения

Использование авторизации RBAC | Kubernetes

Контроль доступа на основе ролей (RBAC) — это метод регулирования доступа к компьютеру или сетевые ресурсы на основе ролей отдельных пользователей в вашей организации.

авторизация RBAC использует rbac.authorization.k8s.io Группа API для авторизации решения, позволяющие динамически настраивать политики через Kubernetes API.

Чтобы включить RBAC, запустите сервер API. с флагом --authorization-mode , установленным в список, разделенный запятыми, который включает RBAC ; например:

  kube-apiserver --authorization-mode = Пример, RBAC --other-options --more-options
  

Объекты API

RBAC API объявляет четыре типа объекта Kubernetes: Role , ClusterRole , Привязка ролей и Привязка ролей кластера .Вы можете описывать объекты, или изменить их, используя такие инструменты, как kubectl, , как и любой другой объект Kubernetes.

Роль и кластерная роль

Роль RBAC или ClusterRole содержит правила, представляющие набор разрешений. Разрешения чисто аддитивные (нет правил запрета).

Роль всегда устанавливает разрешения в определенном пространстве имен; при создании роли необходимо указать пространство имен, которому она принадлежит.

ClusterRole, напротив, не является ресурсом без пространства имен.Ресурсы имеют разные названия (Роль и ClusterRole), потому что объект Kubernetes всегда должен быть либо в пространстве имен, либо без него; не может быть и того, и другого.

ClusterRoles имеет несколько применений. Вы можете использовать ClusterRole для:

1. определяют разрешения для ресурсов с пространством имен и предоставляются в отдельном пространстве (пространствах) имен
2. определяет разрешения для ресурсов с пространством имен и предоставляется для всех пространств имен
3. определяет права доступа к ресурсам в области кластера

Если вы хотите определить роль в пространстве имен, используйте Role; если вы хотите определить роль для всего кластера используйте ClusterRole.

Пример роли

Вот пример роли в пространстве имен «по умолчанию», которую можно использовать для предоставления доступа на чтение к капсулы:

  apiVersion: rbac.authorization.k8s.io/v1
kind: Роль
метаданные:
  пространство имен: по умолчанию
  имя: pod-reader
правила:
- apiGroups: [""] # "" указывает основную группу API
  ресурсы: ["стручки"]
  глаголы: ["получить", "посмотреть", "список"]
  

Пример ClusterRole

ClusterRole может использоваться для предоставления тех же разрешений, что и роль. Поскольку ClusterRoles относятся к кластеру, вы также можете использовать их для предоставления доступа к:

• ресурсов в кластере (например, узлов)

• конечных точки без ресурсов (например, / healthz )

• ресурсов с пространством имен (например, Pods) во всех пространствах имен

  Например: вы можете использовать ClusterRole, чтобы разрешить конкретному пользователю запускать kubectl get pods --all-namespaces

Вот пример ClusterRole, который можно использовать для предоставления доступа на чтение к секреты в любом конкретном пространстве имен, или во всех пространствах имен (в зависимости от того, как они связаны):

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  # "namespace" опущено, поскольку ClusterRoles не имеет пространства имен
  имя: секрет-читатель
правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Secret
  # объект "секреты"
  ресурсы: ["секреты"]
  глаголы: ["получить", "посмотреть", "список"]
  

Имя объекта Role или ClusterRole должно быть допустимым. имя сегмента пути.

Привязка ролей и привязка ролей кластера

Привязка роли предоставляет разрешения, определенные в роли, пользователю или группе пользователей.Он содержит список из субъектов (пользователи, группы или учетные записи служб) и ссылку на роль предоставляется. RoleBinding предоставляет разрешения в определенном пространстве имен, тогда как ClusterRoleBinding предоставляет доступ к кластеру.

RoleBinding может ссылаться на любую роль в том же пространстве имен. В качестве альтернативы RoleBinding может ссылаться на ClusterRole и связывать эту ClusterRole с пространством имен RoleBinding. Если вы хотите привязать ClusterRole ко всем пространствам имен в вашем кластере, вы используете ClusterRoleBinding.

Имя объекта RoleBinding или ClusterRoleBinding должно быть допустимым. имя сегмента пути.

Примеры RoleBinding

Вот пример RoleBinding, который предоставляет роль «pod-reader» пользователю «jane». в пространстве имен «по умолчанию». Это позволяет «Джейн» читать модули в пространстве имен «по умолчанию».

  apiVersion: rbac.authorization.k8s.io/v1
# Эта привязка роли позволяет "jane" читать модули в пространстве имен "default".
# У вас уже должна быть роль с именем "pod-reader" в этом пространстве имен.вид: RoleBinding
метаданные:
  имя: стручки чтения
  пространство имен: по умолчанию
предметы:
# Вы можете указать более одного "предмета"
- вид: Пользователь
  name: jane # "name" чувствительно к регистру
  apiGroup: rbac.authorization.k8s.io
roleRef:
  # "roleRef" указывает привязку к роли / роли кластера
  kind: Role # это должна быть Role или ClusterRole
  name: pod-reader # это должно совпадать с именем роли или ClusterRole, к которой вы хотите привязать
  apiGroup: rbac.authorization.k8s.io
  

RoleBinding может также ссылаться на ClusterRole для предоставления разрешений, определенных в этом ClusterRole к ресурсам внутри пространства имен RoleBinding.Такая ссылка позволяет определить набор общих ролей в кластере, а затем повторно использовать их в несколько пространств имен.

Например, даже если следующее RoleBinding относится к ClusterRole, «dave» (субъект, чувствительный к регистру) сможет читать «Секреты» только в «development» пространство имен, потому что пространство имен RoleBinding (в его метаданных) — «разработка».

  apiVersion: rbac.authorization.k8s.io/v1
# Эта привязка роли позволяет «dave» читать секреты в пространстве имен «development».# У вас уже должна быть ClusterRole с именем "secret-reader".
вид: RoleBinding
метаданные:
  name: секреты чтения
  #
  # Пространство имен RoleBinding определяет, где предоставляются разрешения.
  # Это дает разрешения только в пространстве имен "разработка".
  пространство имен: разработка
предметы:
- вид: Пользователь
  name: dave # Имя чувствительно к регистру
  apiGroup: rbac.authorization.k8s.io
roleRef:
  вид: ClusterRole
  имя: секрет-читатель
  apiGroup: rbac.authorization.k8s.io
  

ClusterRoleBinding, пример

Чтобы предоставить разрешения для всего кластера, вы можете использовать ClusterRoleBinding.Следующая ClusterRoleBinding позволяет любому пользователю в группе «менеджер» читать секреты в любом пространстве имен.

  apiVersion: rbac.authorization.k8s.io/v1
# Эта привязка роли кластера позволяет любому члену группы «менеджер» читать секреты в любом пространстве имен.
вид: ClusterRoleBinding
метаданные:
  имя: секреты чтения глобальный
предметы:
- вид: Группа
  name: manager # Имя чувствительно к регистру
  apiGroup: rbac.authorization.k8s.io
roleRef:
  вид: ClusterRole
  имя: секрет-читатель
  apiGroup: rbac.authorization.k8s.io
  

После создания привязки нельзя изменить роль или роль кластера, на которую она ссылается. Если вы попытаетесь изменить привязку roleRef , вы получите ошибку проверки. Если ты хочешь чтобы изменить роль roleRef для привязки, вам необходимо удалить объект привязки и создать замена.

Это ограничение вызвано двумя причинами:

1. Создание неизменяемой роли roleRef позволяет предоставить кому-либо разрешение на обновление для существующей привязки объект, чтобы они могли управлять списком субъектов, не имея возможности изменять роль, которая отводится этим предметам.
2. Привязка к другой роли — это принципиально иная привязка. Требование удаления / воссоздания привязки для изменения роли Ссылка гарантирует, что полный список предметов в привязке предназначен для предоставления новая роль (в отличие от включения или случайного изменения только roleRef без проверки всем существующим субъектам следует дать новую роль разрешения).

Утилита командной строки kubectl auth reconcile создает или обновляет файл манифеста, содержащий объекты RBAC, и обрабатывает удаление и воссоздание объектов привязки, если это необходимо для изменения роли, на которую они ссылаются.См. Использование команд и примеры для получения дополнительной информации.

Ссылаясь на ресурсы

В Kubernetes API большинство ресурсов представлено и доступно с помощью строкового представления имя их объекта, например pods для Pod. RBAC относится к ресурсам, использующим точно такие же имя, которое отображается в URL-адресе соответствующей конечной точки API. Некоторые API Kubernetes включают подресурс , например журналы для Pod. Запрос логов Pod’а выглядит так:

  GET / api / v1 / namespaces / {namespace} / pods / {name} / log
  

В этом случае модулей — это ресурс с пространством имен для ресурсов Pod, а журнал — это подресурс стручков .Чтобы представить это в роли RBAC, используйте косую черту (/) для разграничить ресурс и подресурс. Чтобы позволить субъекту читать модулей, и также обращайтесь к подресурсу log для каждого из этих подов, вы пишете:

  apiVersion: rbac.authorization.k8s.io/v1
kind: Роль
метаданные:
  пространство имен: по умолчанию
  имя: pod-and-pod-logs-reader
правила:
- apiGroups: [""]
  ресурсы: ["блоки", "блоки / журнал"]
  глаголы: ["получить", "список"]
  

Вы также можете ссылаться на ресурсы по имени для определенных запросов через список resourceNames .Если указано, запросы могут быть ограничены отдельными экземплярами ресурса. Вот пример, который ограничивает его предмет только получить или обновить a ConfigMap с именем my-configmap :

  apiVersion: rbac.authorization.k8s.io/v1
kind: Роль
метаданные:
  пространство имен: по умолчанию
  имя: configmap-updater
правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к ConfigMap
  # объект "configmaps"
  ресурсы: ["configmaps"]
  resourceNames: ["my-configmap"]
  глаголы: ["обновить", "получить"]
  

Примечание: Вы не можете ограничить запросы create или deletecollection по их имени ресурса.Для создать это ограничение связано с тем, что имя нового объекта может быть неизвестно во время авторизации. Если вы ограничиваете list или watch по resourceName, клиенты должны включить селектор поля metadata.name в свой список list или watch , который соответствует указанному resourceName, чтобы получить авторизацию. Например, kubectl get configmaps --field-selector = metadata.name = my-configmap

Агрегированные кластерные роли

Вы можете объединить нескольких ролей кластера в одну объединенную роль кластера.Контроллер, работающий как часть плоскости управления кластером, наблюдает за ClusterRole. объекты с набором правила агрегации . Правило агрегации определяет метку. селектор, что контроллер использует для сопоставления с другими объектами ClusterRole, которые должны быть объединены в правила поле этого.

Вот пример агрегированного ClusterRole:

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: мониторинг
aggregationRule:
  clusterRoleSelectors:
  - matchLabels:
      руб.example.com/aggregate-to-monitoring: "правда"
rules: [] # Уровень управления автоматически заполняет правила
  

Если вы создаете новую ClusterRole, которая соответствует селектору меток существующей агрегированной ClusterRole, это изменение запускает добавление новых правил в агрегированную ClusterRole. Вот пример, который добавляет правила к «контролирующей» ClusterRole, создавая еще одну ClusterRole с меткой rbac.example.com/aggregate-to-monitoring: true .

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: конечные точки мониторинга
  ярлыки:
    rbac.example.com/aggregate-to-monitoring: "правда"
# При создании ClusterRole "конечных точек мониторинга",
# приведенные ниже правила будут добавлены в ClusterRole "мониторинг".
правила:
- apiGroups: [""]
  ресурсы: ["службы", "конечные точки", "модули"]
  глаголы: ["получить", "список", "смотреть"]
  

Пользовательские роли по умолчанию используют агрегацию ClusterRole. Это позволяет вам, как администратор кластера, включите правила для настраиваемых ресурсов, например, обслуживаемых CustomResourceDefinitions или агрегированные серверы API, чтобы расширить роли по умолчанию.

Например: следующие ClusterRoles позволяют ролям «admin» и «edit» по умолчанию управлять настраиваемым ресурсом. с именем CronTab, тогда как роль «просмотра» может выполнять только действия чтения на ресурсах CronTab. Вы можете предположить, что объекты CronTab называются "crontabs" в URL-адресах, видимых сервером API.

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: агрегат-cron-вкладки-редактировать
  ярлыки:
    # Добавьте эти разрешения к ролям по умолчанию "admin" и "edit".rbac.authorization.k8s.io/aggregate-to-admin: "правда"
    rbac.authorization.k8s.io/aggregate-to-edit: "правда"
правила:
- apiGroups: ["stable.example.com"]
  ресурсы: ["crontabs"]
  глаголы: ["получить", "список", "смотреть", "создать", "обновить", "патч", "удалить"]
---
вид: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
метаданные:
  имя: агрегат-cron-tabs-view
  ярлыки:
    # Добавьте эти разрешения к роли по умолчанию "просмотр".
    rbac.authorization.k8s.io/aggregate-to-view: "правда"
правила:
- apiGroups: ["стабильный.example.com "]
  ресурсы: ["crontabs"]
  глаголы: ["получить", "список", "смотреть"]
  

Примеры ролей

Следующие примеры представляют собой отрывки из объектов Role или ClusterRole, показывающие только раздел правил .

Разрешить чтение "модулей" ресурсов в ядре Группа API:

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Pod
  # объект "капсулы"
  ресурсы: ["стручки"]
  глаголы: ["получить", "список", "смотреть"]
  

Разрешить чтение / запись развертываний (на уровне HTTP: объекты с «развертываниями» в ресурсной части своего URL-адреса) в обоих "расширениях" и "приложениях" групп API:

  правила:
- apiGroups: ["расширения", "приложения"]
  #
  # на уровне HTTP имя ресурса для доступа к Deployment
  # объект "развертывания"
  ресурсы: ["развертывания"]
  глаголы: ["получить", "список", "смотреть", "создать", "обновить", "патч", "удалить"]
  

Разрешить чтение модулей в основной группе API, а также чтение или запись задания ресурсы в «пакет» или «расширения» Группы API:

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Pod
  # объект "капсулы"
  ресурсы: ["стручки"]
  глаголы: ["получить", "список", "смотреть"]
- apiGroups: ["пакет", "расширения"]
  #
  # на уровне HTTP имя ресурса для доступа к Job
  # объект "вакансии"
  ресурсы: ["вакансии"]
  глаголы: ["получить", "список", "смотреть", "создать", "обновить", "патч", "удалить"]
  

Разрешить чтение ConfigMap с именем «my-config» (должен быть связан с RoleBinding для ограничения одной ConfigMap в одном пространстве имен):

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к ConfigMap
  # объект "configmaps"
  ресурсы: ["configmaps"]
  resourceNames: ["my-config"]
  глаголы: ["получить"]
  

Разрешить чтение ресурса «узлов» в основной группе (поскольку Узел имеет кластерную область видимости, это должно быть в ClusterRole, связанном с ClusterRoleBinding, чтобы быть эффективным):

  правила:
- apiGroups: [""]
  #
  # на уровне HTTP имя ресурса для доступа к Node
  # объект - это «узлы»
  ресурсы: ["узлы"]
  глаголы: ["получить", "список", "смотреть"]
  

Разрешить запросы GET и POST к конечной точке без ресурсов / healthz и все подпути (должны быть в ClusterRole, привязанном к ClusterRoleBinding быть эффективным):

  правила:
- nonResourceURLs: ["/ healthz", "/ healthz / *"] # '*' в nonResourceURL - это совпадение суффикса glob
  глаголы: ["получить", "опубликовать"]
  

По предметам

RoleBinding или ClusterRoleBinding связывает роль с субъектами.Субъектами могут быть группы, пользователи или ServiceAccounts.

Kubernetes представляет имена пользователей в виде строк. Это могут быть: простые имена, такие как «алиса»; имена в стиле электронной почты, например «[email protected]»; или числовые идентификаторы пользователей, представленные в виде строки. Это зависит от вас как администратора кластера для настройки модулей аутентификации так что аутентификация производит имена пользователей в желаемом формате.

Внимание: Префикс system: зарезервирован для использования системой Kubernetes, поэтому вы должны убедиться, что что у вас нет пользователей или групп с именами, начинающимися с системы : от авария.Кроме этого специального префикса, система авторизации RBAC не требует никакого формата для имен пользователей.

В Kubernetes модули Authenticator предоставляют информацию о группах. Группы, как и пользователи, представлены в виде строк, и эта строка не имеет требований к формату. кроме этого префикс system: зарезервирован.

ServiceAccounts имеют имена с префиксом с system: serviceaccount: и принадлежат к группам, имена которых имеют префикс system: serviceaccounts: .

• system: serviceaccount: (единственное число) — это префикс для имен пользователей учетной записи службы.
• система: serviceaccounts: (множественное число) — это префикс для групп учетных записей служб.

Примеры RoleBinding

Следующие примеры — это фрагментов RoleBinding , которые только показать предметов раздел.

Для пользователя с именем [email protected] :

  субъектов:
- вид: Пользователь
  name: "alice @ example.com "
  apiGroup: rbac.authorization.k8s.io
  

Для группы с именем frontend-admins :

  субъектов:
- вид: Группа
  имя: "фронтенд-админы"
  apiGroup: rbac.authorization.k8s.io
  

Для учетной записи службы по умолчанию в пространстве имен «kube-system»:

  субъектов:
- вид: ServiceAccount
  имя: по умолчанию
  пространство имен: kube-system
  

Для всех учетных записей служб в группе «qa» в любом пространстве имен:

  субъектов:
- вид: Группа
  имя: система: serviceaccounts: qa
  apiGroup: rbac.authorization.k8s.io
  

Для всех учетных записей служб в группе «dev» в пространстве имен «development»:

  субъектов:
- вид: Группа
  имя: система: сервисаккаунты: разработчик
  apiGroup: rbac.authorization.k8s.io
  пространство имен: разработка
  

Для всех учетных записей служб в любом пространстве имен:

  субъектов:
- вид: Группа
  имя: система: serviceaccounts
  apiGroup: rbac.authorization.k8s.io
  

Для всех авторизованных пользователей:

  субъектов:
- вид: Группа
  имя: система: аутентифицирован
  apiGroup: rbac.authorization.k8s.io
  

Для всех пользователей, не прошедших аутентификацию:

  субъектов:
- вид: Группа
  имя: система: не аутентифицировано
  apiGroup: rbac.authorization.k8s.io
  

Для всех пользователей:

  субъектов:
- вид: Группа
  имя: система: аутентифицирован
  apiGroup: rbac.authorization.k8s.io
- вид: Группа
  имя: система: не аутентифицировано
  apiGroup: rbac.authorization.k8s.io
  

Роли по умолчанию и привязки ролей

создают набор объектов ClusterRole и ClusterRoleBinding по умолчанию.Многие из них относятся к системе : с префиксом , что указывает на то, что ресурс напрямую управляется плоскостью управления кластером. Все стандартные роли ClusterRoles и ClusterRoleBindings помечены как kubernetes.io/bootstrapping=rbac-defaults .

Внимание: Будьте осторожны при изменении ClusterRoles и ClusterRoleBindings с именами с префиксом system: . Изменения в этих ресурсах могут привести к нефункциональным кластерам.

Автоматическая сверка

При каждом запуске сервер API обновляет роли кластера по умолчанию с любыми недостающими разрешениями, и обновляет привязки ролей кластера по умолчанию с любыми недостающими субъектами.Это позволяет кластеру восстанавливать случайные изменения и помогает сохранить роли и привязки ролей. актуальна по мере изменения разрешений и тем в новых выпусках Kubernetes.

Чтобы отказаться от этого согласования, установите rbac.authorization.kubernetes.io/autoupdate аннотация роли кластера по умолчанию или привязка роли к false . Имейте в виду, что отсутствие разрешений и субъектов по умолчанию может привести к нефункциональным кластерам.

Автоматическое согласование включено по умолчанию, если активен авторизатор RBAC.

Роли обнаружения API

Привязки ролей по умолчанию разрешают неаутентифицированным и аутентифицированным пользователям читать информацию API, которая считается безопасной для публичного доступа (включая CustomResourceDefinitions). Чтобы отключить анонимный доступ без аутентификации, добавьте --anonymous-auth = false в конфигурацию сервера API.

Чтобы просмотреть конфигурацию этих ролей через kubectl , запустите:

  kubectl получить систему кластерных ролей: Discovery -o yaml
  

Пользовательские роли

Некоторые из ролей кластера по умолчанию не относятся к системе : с префиксом . Это роли, ориентированные на пользователя. Они включают роли суперпользователей (, администратор кластера, ), роли, предназначенные для предоставления на уровне кластера. используя ClusterRoleBindings, и роли, предназначенные для предоставления в определенных пространства имен с использованием RoleBindings ( admin , edit , view ).

Пользовательские ClusterRoles используют агрегацию ClusterRole, чтобы администраторы могли включать правила для настраиваемых ресурсов в этих ClusterRoles.Чтобы добавить правила к ролям admin , edit или view , создайте ClusterRole с одной или несколькими из следующих меток:

  метаданные:
  ярлыки:
    rbac.authorization.k8s.io/aggregate-to-admin: "правда"
    rbac.authorization.k8s.io/aggregate-to-edit: "правда"
    rbac.authorization.k8s.io/aggregate-to-view: "правда"
  

Роли основных компонентов

Другие роли компонентов

Роли для встроенных контроллеров

Запускается диспетчер контроллера Kubernetes. контроллеры, встроенные в Kubernetes Плоскость управления. При вызове с --use-service-account-credentials kube-controller-manager запускает каждый контроллер. используя отдельную учетную запись службы.Для каждого встроенного контроллера существуют соответствующие роли с префиксом system: controller: . Если диспетчер контроллеров не запущен с --use-service-account-credentials , он запускает все контуры управления. используя свои собственные учетные данные, которым должны быть предоставлены все соответствующие роли. Эти роли включают:

• система: контроллер: присоединитьдетак-контроллер
• система: контроллер: сертификат-контроллер
• система: контроллер: clusterrole-aggregation-controller
• система: контроллер: cronjob-controller
• система: контроллер: демон-набор-контроллер
• система: контроллер: контроллер развертывания
• система: контроллер: прерыватель-контроллер
• система: контроллер: конечная точка-контроллер
• система: контроллер: контроллер расширения
• система: контроллер: общий сборщик мусора
• система: контроллер: горизонтальный-под-автомат масштабирования
• система: контроллер: контроллер задания
• система: контроллер: контроллер пространства имен
• система: контроллер: узел-контроллер
• система: контроллер: связка постоянного объема
• система: контроллер: сборщик мусора
• система: контроллер: pv-защита-контроллер
• система: контроллер: контроллер защиты пвх
• система: контроллер: replicaset-controller
• система: контроллер: контроллер репликации
• система: контроллер: ресурс квота-контроллер
• система: контроллер: root-ca-cert-publisher
• система: контроллер: маршрут-контроллер
• система: контроллер: сервис-аккаунт-контроллер
• система: контроллер: сервис-контроллер
• система: контроллер: statefulset-controller
• система: контроллер: ttl-controller

Предотвращение повышения привилегий и начальная загрузка

API RBAC не позволяет пользователям повышать привилегии путем редактирования ролей или привязок ролей.Поскольку это применяется на уровне API, оно применяется даже тогда, когда авторизатор RBAC не используется.

Ограничения на создание или обновление ролей

Вы можете создать / обновить роль, только если верно хотя бы одно из следующих условий:

1. У вас уже есть все разрешения, содержащиеся в роли, в той же области, что и изменяемый объект (на уровне кластера для ClusterRole, в том же пространстве имен или на уровне кластера для роли).
2. Вам предоставлено явное разрешение на выполнение команды escalate для ресурсов ролей или clusterroles в rbac.authorization.k8s.io Группа API.

Например, если user-1 не имеет возможности перечислить секреты для всего кластера, они не могут создать ClusterRole. содержащее это разрешение. Чтобы разрешить пользователю создавать / обновлять роли:

1. Предоставьте им роль, которая позволит им создавать / обновлять объекты Role или ClusterRole по своему усмотрению.
2. Предоставьте им разрешение на включение определенных разрешений в роли, которые они создают / обновляют:
   • неявно, предоставив им эти разрешения (если они попытаются создать или изменить роль или ClusterRole с разрешениями, которые им самим не предоставлены, запрос API будет запрещен)
   • или явно разрешить указать любое разрешение в роли или ClusterRole , дав им разрешение на выполнение команды эскалации для ролей или clusterroles ресурсов в rbac.authorization.k8s.io Группа API

Ограничения на создание или обновление привязки ролей

Вы можете создать / обновить привязку роли, только если у вас уже есть все разрешения, содержащиеся в указанной роли. (в той же области, что и привязка роли) или , если вы авторизованы для выполнения команды привязки для указанной роли. Например, если user-1 не имеет возможности перечислить секреты для всего кластера, они не могут создать ClusterRoleBinding. роли, предоставляющей это разрешение.Чтобы позволить пользователю создавать / обновлять привязки ролей:

1. Предоставьте им роль, которая позволит им создавать / обновлять объекты RoleBinding или ClusterRoleBinding по своему усмотрению.
2. Предоставьте им разрешения, необходимые для привязки определенной роли:
   • неявно, предоставив им разрешения, содержащиеся в роли.
   • явно, дав им разрешение на выполнение команды bind для конкретной роли (или ClusterRole).

Например, эта ClusterRole и RoleBinding позволят user-1 предоставлять другим пользователям роли admin , edit и view ролей в пространстве имен user-1-namespace :

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  имя: роль-праводатель
правила:
- apiGroups: ["rbac.authorization.k8s.io"]
  ресурсы: ["ролевые привязки"]
  глаголы: ["создать"]
- apiGroups: ["rbac.authorization.k8s.io"]
  ресурсы: ["clusterroles"]
  глаголы: ["связывать"]
  # опустить resourceNames, чтобы разрешить привязку любой ClusterRole
  resourceNames: ["админ", "редактировать", "просмотр"]
---
apiVersion: rbac.authorization.k8s.io/v1
вид: RoleBinding
метаданные:
  имя: привязка лица, предоставившего роль
  пространство имен: user-1-namespace
roleRef:
  apiGroup: rbac.authorization.k8s.io
  вид: ClusterRole
  имя: роль-праводатель
предметы:
- apiGroup: rbac.authorization.k8s.io
  вид: Пользователь
  имя: пользователь-1
  

При загрузке первых ролей и привязок ролей необходимо, чтобы начальный пользователь предоставил разрешения, которых у него еще нет. Для начальной загрузки ролей и привязок ролей:

• Используйте учетные данные с группой «system: masters», которая привязана к роли суперпользователя «cluster-admin» привязками по умолчанию.
• Если ваш сервер API работает с включенным небезопасным портом ( --insecure-port ), вы также можете выполнять вызовы API через этот порт, который не требует аутентификации или авторизации.

Утилиты командной строки

Создает объект «Роль», определяющий разрешения в одном пространстве имен. Примеры:

• Создайте роль с именем «pod-reader», которая позволяет пользователям выполнять get , смотреть и список на модулях:

    kubectl создать роль pod-reader --verb = get --verb = list --verb = watch --resource = pods
    

• Создайте роль с именем «pod-reader» с указанными resourceNames:

    kubectl создать роль pod-reader --verb = get --resource = pods --resource-name = readablepod --resource-name = anotherpod
    

• Создайте роль с именем «foo» с указанными apiGroups:

    kubectl create role foo --verb = get, list, watch --resource = replicasets.Программы
    

• Создайте роль с именем «foo» с разрешениями на подресурсы:

    kubectl create role foo --verb = get, list, watch --resource = pods, pods / status
    

• Создайте роль с именем «my-component-lease-holder» с разрешениями на получение / обновление ресурса с определенным именем:

    kubectl create role my-component-lease-holder --verb = get, list, watch, update --resource = lease --resource-name = my-component
    

Создает ClusterRole.Примеры:

• Создайте ClusterRole с именем «pod-reader», которая позволяет пользователю выполнять get , смотреть и список на модулях:

    kubectl create clusterrole pod-reader --verb = get, list, watch --resource = pods
    

• Создайте ClusterRole с именем «pod-reader» с указанными resourceNames:

    kubectl create clusterrole pod-reader --verb = get --resource = pods --resource-name = readablepod --resource-name = anotherpod
    

• Создайте ClusterRole с именем «foo» с указанными apiGroups:

    kubectl create clusterrole foo --verb = get, list, watch --resource = replicasets.Программы
    

• Создайте ClusterRole с именем «foo» с разрешениями на подресурсы:

    kubectl create clusterrole foo --verb = get, list, watch --resource = pods, pods / status
    

• Создайте ClusterRole с именем «foo» с указанным nonResourceURL:

    kubectl create clusterrole "foo" --verb = get --non-resource-url = / logs / *
    

• Создайте ClusterRole с именем «мониторинг» с заданным правилом агрегации:

    kubectl создать мониторинг роли кластера --aggregation-rule = "rbac.example.com/aggregate-to-monitoring=true "
    

Предоставляет роль или роль кластера в определенном пространстве имен. Примеры:

• В пространстве имен «acme» предоставьте разрешения в ClusterRole «admin» пользователю с именем «bob»:

    kubectl создать привязку ролей bob-admin-binding --clusterrole = admin --user = bob --namespace = acme
    

• В пространстве имен «acme» предоставьте разрешения в «представлении» ClusterRole учетной записи службы в пространстве имен «acme» с именем «myapp»:

    kubectl создать привязку ролей myapp-view-binding --clusterrole = view --serviceaccount = acme: myapp --namespace = acme
    

• В пространстве имен «acme» предоставьте разрешения в «представлении» ClusterRole учетной записи службы в пространстве имен «myappnamespace» с именем «myapp»:

    kubectl создать привязку ролей myappnamespace-myapp-view-binding --clusterrole = view --serviceaccount = myappnamespace: myapp --namespace = acme
    

Предоставляет ClusterRole для всего кластера (всех пространств имен).Примеры:

• Для всего кластера предоставьте разрешения в роли ClusterRole «cluster-admin» пользователю с именем «root»:

    kubectl create clusterrolebinding root-cluster-admin-binding --clusterrole = cluster-admin --user = root
    

• Во всем кластере предоставьте разрешения в ClusterRole «system: node-proxier» пользователю с именем «system: kube-proxy»:

    kubectl create clusterrolebinding kube-proxy-binding --clusterrole = system: node-proxier --user = system: kube-proxy
    

• Во всем кластере предоставьте разрешения в «представлении» ClusterRole учетной записи службы с именем «myapp» в пространстве имен «acme»:

    kubectl create clusterrolebinding myapp-view-binding --clusterrole = view --serviceaccount = acme: myapp
    

Создает или обновляет руб.authorization.k8s.io/v1 объектов API из файла манифеста.

Создаются отсутствующие объекты, и при необходимости создается содержащее пространство имен для объектов с пространством имен.

Существующие роли обновлены, чтобы включить разрешения во входных объектах, и удалите лишние разрешения, если указано --remove-extra-permissions .

Существующие привязки обновляются для включения субъектов во входные объекты, и удалите лишние предметы, если указано --remove-extra-subject .

Примеры:

• Протестируйте применение файла манифеста объектов RBAC, отображая изменения, которые будут внесены:

    kubectl auth согласовать -f my-rbac-rules.yaml --dry-run = client
    

• Применить файл манифеста объектов RBAC с сохранением любых дополнительных разрешений (в ролях) и любых дополнительных субъектов (в привязках):

    kubectl auth согласовать -f my-rbac-rules.yaml
    

• Применить файл манифеста объектов RBAC, удалив все дополнительные разрешения (в ролях) и любые дополнительные субъекты (в привязках):

    kubectl auth согласовать -f my-rbac-rules.yaml --remove-extra-темы --remove-extra-permissions
    

Разрешения для ServiceAccount

Политики RBAC по умолчанию предоставляют разрешения с определенной областью действия для компонентов уровня управления, узлов, и контроллеры, но не предоставлять никаких разрешений для сервисных учетных записей вне пространства имен kube-system (помимо разрешений на обнаружение, предоставленных всем аутентифицированным пользователям).

Это позволяет при необходимости назначать определенные роли определенным ServiceAccounts.Детализированные привязки ролей обеспечивают большую безопасность, но требуют больше усилий для администрирования. Более широкие гранты могут предоставить ненужный (и потенциально расширяющийся) доступ API к ServiceAccounts, но их легче администрировать.

В порядке от наиболее безопасного к наименее защищенному подходы следующие:

1. Предоставить роль учетной записи службы для конкретного приложения (передовая практика)

   Это требует, чтобы приложение указывало serviceAccountName в своей спецификации модуля, и для создаваемой учетной записи службы (через API, манифест приложения, kubectl create serviceaccount и т. д.).

   Например, предоставить доступ только для чтения в «my-namespace» учетной записи службы «my-sa»:

     kubectl создать привязку ролей my-sa-view \
     --clusterrole = просмотр \
     --serviceaccount = мое-пространство имен: мое-са \
     --namespace = мое-пространство имен
     

2. Предоставить роль учетной записи службы «по умолчанию» в пространстве имен

   Если приложение не указывает serviceAccountName , оно использует учетную запись службы «по умолчанию».

   Примечание. Разрешения, предоставленные учетной записи службы «по умолчанию», доступны для любого модуля. в пространстве имен, которое не указывает serviceAccountName .

   Например, предоставить доступ только для чтения в «my-namespace» учетной записи службы «по умолчанию»:

     kubectl создать привязку ролей default-view \
     --clusterrole = просмотр \
     --serviceaccount = мое-пространство имен: по умолчанию \
     --namespace = мое-пространство имен
     

   Многие надстройки работают как учетная запись службы «default» в пространстве имен kube-system . Чтобы эти надстройки запускались с правами суперпользователя, предоставьте cluster-admin разрешения для учетной записи службы «по умолчанию» в пространстве имен kube-system .

   Внимание: Включение означает, что пространство имен kube-system содержит секреты. которые предоставляют суперпользовательский доступ к API вашего кластера.

     kubectl создать надстройку для привязки кластера-кластер-админ \
     --clusterrole = администратор кластера \
     --serviceaccount = kube-system: по умолчанию
     

3. Предоставить роль всем учетным записям служб в пространстве имен

   Если вы хотите, чтобы все приложения в пространстве имен имели роль, независимо от того, какую учетную запись службы они используют, вы можете предоставить роль группе учетных записей службы для этого пространства имен.

   Например, предоставить разрешение только на чтение в «my-namespace» всем учетным записям служб в этом пространстве имен:

     kubectl создать привязку ролей serviceaccounts-view \
     --clusterrole = просмотр \
     --group = system: serviceaccounts: my-namespace \
     --namespace = мое-пространство имен
     

4. Предоставить ограниченную роль всем сервисным учетным записям в масштабе кластера (не рекомендуется)

   Если вы не хотите управлять разрешениями для пространства имен, вы можете предоставить роль в масштабе кластера всем учетным записям служб.

   Например, предоставить разрешение только на чтение для всех пространств имен всем учетным записям служб в кластере:

     kubectl создать clusterrolebinding serviceaccounts-view \
     --clusterrole = просмотр \
    --group = system: serviceaccounts
     

5. Предоставить суперпользователю доступ ко всем сервисным учетным записям в рамках кластера (настоятельно не рекомендуется)

   Если вы вообще не заботитесь о разрешениях на разделение, вы можете предоставить суперпользовательский доступ ко всем учетным записям служб.

   Предупреждение: Это разрешает любому приложению полный доступ к вашему кластеру, а также предоставляет любой пользователь с доступом для чтения к Секретам (или возможностью создавать любые модули) полный доступ к вашему кластеру.

     kubectl create clusterrolebinding serviceaccounts-cluster-admin \
     --clusterrole = администратор кластера \
     --group = system: serviceaccounts
     

Доступ для записи для конечных точек

кластеров Kubernetes, созданных до Kubernetes v1.22, включают доступ на запись в Конечные точки в агрегированных ролях «редактировать» и «администратор». Как смягчение последствий CVE-2021-25740, это доступ не является частью агрегированных ролей в кластерах, которые вы создаете с помощью Kubernetes v1.22 или новее.

Существующие кластеры, обновленные до Kubernetes v1.22, не будут подлежит этому изменению. CVE объявление включает руководство по ограничению этого доступа в существующих кластерах.

Если вы хотите, чтобы новые кластеры сохранили этот уровень доступа в агрегированных ролях, вы можете создать следующую ClusterRole:

  apiVersion: rbac.authorization.k8s.io/v1
вид: ClusterRole
метаданные:
  аннотации:
    kubernetes.io/description: | -
      Добавьте конечным точкам разрешения на запись для ролей редактирования и администратора.Это было
      по умолчанию удален в версии 1.22 из-за CVE-2021-25740. Видеть
      https://issue.k8s.io/103675. Это может позволить авторам направлять LoadBalancer
      или реализации Ingress для предоставления серверных IP-адресов, которые в противном случае не
      быть доступным и может обходить сетевые политики или средства контроля безопасности
      предназначен для предотвращения / изоляции доступа к этим серверным модулям.
  ярлыки:
    rbac.authorization.k8s.io/aggregate-to-edit: "правда"
  name: custom: aggregate-to-edit: endpoints # вы можете изменить это, если хотите
правила:
  - apiGroups: [""]
    ресурсы: ["конечные точки"]
    глаголы: ["создать", "удалить", "удалить коллекцию", "патч", "обновить"]
  

Обновление с ABAC

, на которых изначально были запущены более старые версии Kubernetes, часто использовались разрешительные политики ABAC, включая предоставление полного доступа к API для всех сервисные аккаунты.

Политики RBAC по умолчанию предоставляют разрешения с определенной областью действия для компонентов уровня управления, узлов, и контроллеры, но не предоставлять никаких разрешений для сервисных учетных записей вне пространства имен kube-system (помимо разрешений на обнаружение, предоставленных всем аутентифицированным пользователям).

Хотя это намного безопаснее, это может нарушить работу существующих рабочих нагрузок, которые ожидают автоматического получения разрешений API. Вот два подхода к управлению этим переходом:

Параллельные авторизаторы

Запустите авторизаторы RBAC и ABAC и укажите файл политики, содержащий устаревшая политика ABAC:

  - режим авторизации =..., RBAC, ABAC --authorization-policy-file = mypolicy.json
  

Чтобы подробно объяснить этот первый параметр командной строки: если ранние авторизаторы, такие как Node, отклонить запрос, то авторизатор RBAC пытается авторизовать запрос API. Если RBAC также отклоняет этот запрос API, затем запускается авторизатор ABAC. Это означает, что любой запрос разрешено или разрешены политики RBAC или ABAC.

Когда kube-apiserver запущен с уровнем журнала 5 или выше для компонента RBAC ( --vmodule = rbac * = 5 или --v = 5 ), вы можете увидеть отказы RBAC в журнале сервера API (с префиксом RBAC ).Вы можете использовать эту информацию, чтобы определить, какие роли должны быть предоставлены каким пользователям, группам или учетным записям служб.

После назначения ролей сервисным учетным записям и рабочим нагрузкам работают без сообщений об отказе RBAC в журналах сервера, вы можете удалить авторизатор ABAC.

Разрешающие разрешения RBAC

Вы можете реплицировать разрешающую политику ABAC, используя привязки ролей RBAC.

Следующая политика позволяет ВСЕМ учетным записям служб выступать в качестве администраторов кластера.Любое приложение, работающее в контейнере, автоматически получает учетные данные учетной записи службы, и может выполнять любые действия с API, включая просмотр секретов и изменение разрешений. Это не рекомендуемая политика.

  kubectl create clusterrolebinding permissive-binding \
  --clusterrole = администратор кластера \
  --user = admin \
  --user = кубелет \
  --group = system: serviceaccounts
  

После перехода на использование RBAC необходимо настроить элементы управления доступом. для вашего кластера, чтобы они соответствовали вашим потребностям в информационной безопасности.

Руководителей активируют RB Edwards-Helaire вне травмированного резерва

The Chiefs активировали бегущего назад Клайда Эдвардса-Хелера из травмированного резерва, что дало ему хорошие шансы сыграть впервые с пятой недели, когда в воскресенье Канзас-Сити играет с Далласскими Ковбоями.

Субботний ход был ожидаемым после того, как Эдвардс-Хелер провел большую часть последних двух недель, тренируясь. Он повредил лодыжку во время встречи с Биллами и должен был вернуться на прошлой неделе против Рейдеров, но пропустил еще одну игру.

«У него была хорошая неделя тренировок», — сказал в пятницу тренер Chiefs Энди Рид.

Даррел Уильямс был первым бегуном с Эдвардсом-Хелером на полке. Но несмотря на то, что он поймал девять передач на 109 ярдов и приземлился в ворота «Рейдеров», Уильямс имеет всего 343 ярда при 95 попытках; Эдвардс-Хелайр имеет 304 ярда при 65 попытках остаться вторым в команде в рывке.

Уильямс, вероятно, вернется к своей роли дублера Эдвардса-Хелера, особенно после третьих падений.

«То, что мы знаем о Даррелле, так это то, что он хороший футболист.Он умен, он инстинктивен, он крутой — он просто мастер на все руки, — сказал координатор наступления Chiefs Эрик Бьеними, — и неудивительно, что, когда ему предоставляются такие возможности, он добивается того же успеха, что и имеет. Он просто стойкий, последовательный футболист, который понимает: «Эй, когда представится такая возможность, я должен максимально использовать ее». Это воодушевляет не только как тренер, но и как команда ».

Эдвардс-Хелэр, бывший пик первого раунда, тем не менее, должен стать большим стимулом для атаки Чифов, которая, наконец, проявила некоторые признаки жизни в Лас-Вегасе.Патрик Махоумс справился с худшим спадом за две игры в своей карьере в качестве стартера, забросив 406 ярдов и пять тачдаунов без перехвата в победе над «Рейдерами» со счетом 41–14.

Победа подтолкнула Chiefs (6-4) на первое место в AFC West с приходом Cowboys (7-2).

«Меня очень воодушевила работа команды за последние несколько недель, особенно в Лас-Вегасе. Приятно было видеть, как наступление возвращается в синхронизм », — сказал на этой неделе председатель Chiefs Кларк Хант.«Что касается защиты, то постепенное улучшение, которого мы добились за последние пять недель, напомнило мне немного об улучшении защиты, сделанном в 2019 году», когда Chiefs завершили 50-летнюю засуху чемпионата, победив 49ers в Суперкубок.

«Очевидно, что в эти выходные у нас будет большая игра, — добавил Хант, — а затем, после прощания, у нас будет несколько игр против наших оппонентов из AFC West, что будет очень важно».

Губернатор Прицкер подписывает новую карту Конгресса Иллинойса в закон

ЧИКАГО (AP) — Демократический губернатор.Дж. Б. Прицкер подписал новую карту избирательного округа штата Иллинойс во вторник, официально закрепив политические границы, проведенные, чтобы помочь демократам на промежуточных выборах в следующем году, когда республиканцы имеют все возможности для получения контроля над Палатой представителей США.

Карта, одобренная в октябре демократами, контролирующими Законодательное собрание штата Иллинойс, была предназначена для устранения двух контролируемых республиканцами округов и облегчения выборов для кандидатов-демократов, даже если штат потеряет одно место в Конгрессе из-за сокращения населения.Демократы заявили, что новая карта отражает разнообразие Иллинойса, добавляя второй преимущественно латиноамериканский район и сохраняя три преимущественно черных района.

В подготовленном заявлении Притцкер сказал, что эти маневры были ключевыми в сохранении представительства меньшинства в делегации Иллинойса в соответствии с федеральным законом, запрещающим дискриминацию по признаку расы, цвета кожи или принадлежности к защищаемой языковой группе меньшинства.

«Эти карты соответствуют знаменательному Закону об избирательных правах и обеспечат справедливое представительство всех сообществ в нашей делегации в Конгрессе», — сказал Прицкер.

республиканцев и других критиковали новые границы как сильно искаженные или направленные на пользу политической партии, находящейся у власти. Как и при пересмотре законодательных округов штата, групп интересов и активистов, многие присоединились к демократам по большинству вопросов, критиковали скрытный процесс и результат.

Закон, подписанный Притцкером во вторник, создает «заранее определенных победителей и проигравших почти во всех семнадцати округах» и лишает избирателей возможности принимать решения по бюллетеням, с помощью которых они могут привлекать к ответственности политиков, — сказала Мадлен Дубек, исполнительный директор CHANGE Illinois, которая выступает за политическое рисование карты. независимые комиссии.

«Никогда прежде жители штата Иллинойс не видели такой наглой демонстрации того, насколько разрушительным перераспределение избирательных округов под руководством политиков может быть для избирателей и сообществ по всему штату …», — говорится в заявлении Дубека. «Губернатор. Дж. Б. Прицкер подписал карту, погрязшую в непрозрачном процессе, ставящем личные интересы выше потребностей людей ».

На национальном уровне Республиканская партия использовала джерримандеринг в 2011 году для создания республиканских преимуществ на следующее десятилетие, и теперь партия отвечает за процесс составления карты, известный как перераспределение избирательных округов в более чем вдвое большем количестве штатов, чем демократы.

Это сделало новую карту Иллинойса еще более критичной для демократов, которые контролируют Палату США с небольшим отрывом и идут в 2022 году в невыгодном положении, поскольку партия в Белом доме исторически плохо справлялась с промежуточными выборами.

Новая карта Иллинойса, которая будет использоваться для выборов до 2030 года, нацелена на создание делегации Конгресса из 14 демократов и трех республиканцев, что является изменением по сравнению с нынешним разделением 13-5.Политические последствия были почти мгновенными.

Адам Кинзингер — критик президента Дональда Трампа, который был одним из 10 республиканцев, проголосовавших за импичмент, — объявил, что не будет добиваться переизбрания через несколько часов после того, как Палата представителей Иллинойса и Сенат одобрили карту.

Демократы втянули Кинзингера в район, в котором в значительной степени была республиканская партия, вместе с республиканцем Дарином Лахудом, сторонником Трампа. Кинцингер предпочел пройти трудные предварительные выборы, заявив, что не может сосредоточиться как на своем переизбрании, так и на более широкой политической борьбе против влияния Трампа на Республиканскую партию.

Демократическая депутат Мари Ньюман, которую втягивала в латиноамериканский округ с депутатом Хесус «Чуй» Гарсия, заявила, что вместо этого будет баллотироваться на переизбрание в округе, который сейчас принадлежит депутату Шону Кастену. Это создает ожесточенные праймериз демократов в пригороде Чикаго.

В южном Иллинойсе представители Республиканской партии Майк Бост и Мэри Миллер также были втянуты в один и тот же район, что потенциально могло привести к первичной битве республиканцев в сильно консервативном районе.

___

Политический писатель AP Джон О’Коннор внес свой вклад из Спрингфилда, штат Иллинойс.