SelfSubjectRulesReview

SelfSubjectRulesReview 枚举当前用户在一个命名空间内可以执行的操作集合。

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SelfSubjectRulesReview

SelfSubjectRulesReview 枚举当前用户在一个命名空间内可以执行的操作集合。返回的操作列表可能不完整,这取决于服务器的授权模式以及在评估过程中遇到的任何错误。SelfSubjectRulesReview 应由 UI 用于显示/隐藏操作,或者让最终用户快速了解他们的权限。它不应该被外部系统用于驱动授权决策,因为这会引发混淆代理、缓存生命周期/撤销以及正确性问题。SubjectAccessReview 和 LocalAccessReview 是将授权决策推迟到 API 服务器的正确方式。

  • apiVersion: authorization.k8s.io/v1

  • kind: SelfSubjectRulesReview

  • metadata (ObjectMeta)

    标准列表元数据。更多信息:https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

  • spec (SelfSubjectRulesReviewSpec),必需

    Spec 包含有关正在评估的请求的信息。

  • status (SubjectRulesReviewStatus)

    Status 由服务器填充,指示用户可以执行的操作集。

    SubjectRulesReviewStatus 包含规则检查的结果。此检查可能不完整,具体取决于服务器配置的授权器集以及评估过程中遇到的任何错误。由于授权规则是累加的,如果规则出现在列表中,即使该列表不完整,也可以安全地假定主体拥有该权限。

    • status.incomplete (布尔值),必需

      当此调用返回的规则不完整时,Incomplete 为 true。这最常见于授权器(例如外部授权器)不支持规则评估的情况。

    • status.nonResourceRules ([]NonResourceRule),必需

      原子性:在合并期间将被替换

      NonResourceRules 是主体被允许对非资源执行的操作列表。列表顺序不重要,可能包含重复项,并且可能不完整。

      NonResourceRule 包含描述非资源规则的信息

      • status.nonResourceRules.verbs ([]string),必需

        原子性:在合并期间将被替换

        Verb 是 Kubernetes 非资源 API 动词的列表,例如:get、post、put、delete、patch、head、options。“*”表示所有。

      • status.nonResourceRules.nonResourceURLs ([]string)

        原子性:在合并期间将被替换

        NonResourceURLs 是一组用户应该有权访问的部分 URL。“*”允许作为路径的完整最终步骤。“*”表示所有。

    • status.resourceRules ([]ResourceRule),必需

      原子性:在合并期间将被替换

      ResourceRules 是主体被允许对资源执行的操作列表。列表顺序不重要,可能包含重复项,并且可能不完整。

      ResourceRule 是主体被允许对资源执行的操作列表。列表顺序不重要,可能包含重复项,并且可能不完整。

      • status.resourceRules.verbs ([]string),必需

        原子性:在合并期间将被替换

        Verb 是 Kubernetes 资源 API 动词的列表,例如:get、list、watch、create、update、delete、proxy。“*”表示所有。

      • status.resourceRules.apiGroups ([]string)

        原子性:在合并期间将被替换

        APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组,则允许对任何 API 组中枚举资源之一的任何请求操作。“*”表示所有。

      • status.resourceRules.resourceNames ([]string)

        原子性:在合并期间将被替换

        ResourceNames 是规则适用的可选名称白名单。空集表示允许所有。“*”表示所有。

      • status.resourceRules.resources ([]string)

        原子性:在合并期间将被替换

        Resources 是此规则适用的资源列表。“*”表示指定 apiGroups 中的所有。“*/foo”表示指定 apiGroups 中所有资源的子资源“foo”。

    • status.evaluationError (string)

      EvaluationError 可以与 Rules 结合出现。它表示在规则评估期间发生错误,例如授权器不支持规则评估,并且 ResourceRules 和/或 NonResourceRules 可能不完整。

SelfSubjectRulesReviewSpec

SelfSubjectRulesReviewSpec 定义了 SelfSubjectRulesReview 的规范。

  • namespace (string)

    用于评估规则的命名空间。必需。

操作

create 创建 SelfSubjectRulesReview

HTTP 请求

POST /apis/authorization.k8s.io/v1/selfsubjectrulesreviews

参数

响应

200 (SelfSubjectRulesReview): OK

201 (SelfSubjectRulesReview): Created

202 (SelfSubjectRulesReview): Accepted

401: 未授权

本页面是自动生成的。

如果你打算报告此页面存在的问题,请在问题描述中提及此页面是自动生成的。修复可能需要在 Kubernetes 项目的其他地方进行。

上次修改时间:2024年8月28日太平洋标准时间下午6:01:更新了v1.31的生成的API参考 (8ba98c79c1)