使用 ABAC 授权
基于属性的访问控制(ABAC)定义了一种访问控制范例,其中通过使用结合属性的策略授予用户访问权限。
策略文件格式
要启用 ABAC 模式,请在启动时指定 --authorization-policy-file=SOME_FILENAME 和 --authorization-mode=ABAC。
文件格式是 每行一个 JSON 对象。不应有外部列表或映射,每行只有一个映射。
每行都是一个“策略对象”,其中每个此类对象都是一个具有以下属性的映射
- 版本属性
apiVersion,字符串类型;有效值为 "abac.authorization.kubernetes.io/v1beta1"。允许策略格式的版本控制和转换。kind,字符串类型:有效值为 "Policy"。允许策略格式的版本控制和转换。
spec属性设置为具有以下属性的映射- 主体匹配属性
user,字符串类型;来自--token-auth-file的用户字符串。如果指定user,它必须与已认证用户的用户名匹配。group,字符串类型;如果指定group,它必须与已认证用户的一个组匹配。system:authenticated匹配所有已认证请求。system:unauthenticated匹配所有未认证请求。
- 资源匹配属性
apiGroup,字符串类型;一个 API 组。- 例如:
apps,networking.k8s.io - 通配符:
*匹配所有 API 组。
- 例如:
namespace,字符串类型;一个命名空间。- 例如:
kube-system - 通配符:
*匹配所有资源请求。
- 例如:
resource,字符串类型;一个资源类型- 例如:
pods,deployments - 通配符:
*匹配所有资源请求。
- 例如:
- 非资源匹配属性
nonResourcePath,字符串类型;非资源请求路径。- 例如:
/version或/apis - 通配符
*匹配所有非资源请求。/foo/*匹配/foo/的所有子路径。
- 例如:
readonly,布尔类型,当为 true 时,表示资源匹配策略仅适用于 get、list 和 watch 操作,非资源匹配策略仅适用于 get 操作。
- 主体匹配属性
注意
未设置的属性与其类型(例如空字符串、0、false)的零值属性相同。但是,为了可读性,应首选未设置。
将来,策略可以以 JSON 格式表示,并通过 REST 接口进行管理。
授权算法
请求具有与策略对象的属性相对应的属性。
收到请求时,确定属性。未知属性设置为其类型的零值(例如空字符串、0、false)。
设置为 "*" 的属性将匹配相应属性的任何值。
检查属性元组是否与策略文件中的每个策略匹配。如果至少有一行匹配请求属性,则请求被授权(但可能稍后验证失败)。
要允许任何已认证用户执行操作,请编写一个将 group 属性设置为 "system:authenticated" 的策略。
要允许任何未认证用户执行操作,请编写一个将 group 属性设置为 "system:unauthenticated" 的策略。
要允许用户执行任何操作,请编写一个将 apiGroup、namespace、resource 和 nonResourcePath 属性设置为 "*" 的策略。
Kubectl
Kubectl 使用 apiserver 的 /api 和 /apis 端点来发现已服务的资源类型,并使用位于 /openapi/v2 的 schema 信息验证通过创建/更新操作发送到 API 的对象。
使用 ABAC 授权时,这些特殊资源必须通过策略中的 nonResourcePath 属性显式暴露(请参阅下面的示例)
/api、/api/*、/apis和/apis/*用于 API 版本协商。/version用于通过kubectl version检索服务器版本。/swaggerapi/*用于创建/更新操作。
要检查特定 kubectl 操作中涉及的 HTTP 调用,可以提高详细程度
kubectl --v=8 version
示例
Alice 可以对所有资源执行任何操作
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "alice", "namespace": "*", "resource": "*", "apiGroup": "*"}}kubelet 可以读取任何 Pod
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "kubelet", "namespace": "*", "resource": "pods", "readonly": true}}kubelet 可以读取和写入事件
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "kubelet", "namespace": "*", "resource": "events"}}Bob 只能读取命名空间 "projectCaribou" 中的 Pod
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"user": "bob", "namespace": "projectCaribou", "resource": "pods", "readonly": true}}任何人都可以对所有非资源路径发出只读请求
{"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"group": "system:authenticated", "readonly": true, "nonResourcePath": "*"}} {"apiVersion": "abac.authorization.kubernetes.io/v1beta1", "kind": "Policy", "spec": {"group": "system:unauthenticated", "readonly": true, "nonResourcePath": "*"}}
关于服务帐户的简要说明
每个服务帐户都有一个对应的 ABAC 用户名,该服务帐户的用户名根据命名约定生成
system:serviceaccount:<namespace>:<serviceaccountname>
创建新命名空间会导致以以下格式创建新服务帐户
system:serviceaccount:<namespace>:default
例如,如果您想使用 ABAC 授予默认服务帐户(在 kube-system 命名空间中)对 API 的完全权限,您将在策略文件中添加此行
{"apiVersion":"abac.authorization.kubernetes.io/v1beta1","kind":"Policy","spec":{"user":"system:serviceaccount:kube-system:default","namespace":"*","resource":"*","apiGroup":"*"}}
apiserver 将需要重启才能加载新的策略行。