SelfSubjectRulesReview

apiVersion: authorization.k8s.io/v1

import "k8s.io/api/authorization/v1"

SelfSubjectRulesReview

SelfSubjectRulesReview 枚举当前用户可以在命名空间内执行的一组操作。返回的操作列表可能是不完整的，具体取决于服务器的授权模式以及评估过程中遇到的任何错误。应使用 SelfSubjectRulesReview 来显示/隐藏 UI 中的操作，或让最终用户快速了解他们的权限。不应将其用于外部系统来驱动授权决策，因为这会引发混淆的代理、缓存生命周期/撤销以及正确性问题。SubjectAccessReview 和 LocalAccessReview 是将授权决策委派给 API 服务器的正确方法。

• apiVersion: authorization.k8s.io/v1

• kind: SelfSubjectRulesReview

• metadata (ObjectMeta)

  标准列表元数据。更多信息：https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata

• spec (SelfSubjectRulesReviewSpec), required

  Spec 包含有关正在评估的请求的信息。

• status (SubjectRulesReviewStatus)

  Status 由服务器填写，并指示用户可以执行的一组操作。

  SubjectRulesReviewStatus 包含规则检查的结果。此检查可能是不完整的，具体取决于服务器配置的一组授权器以及评估过程中遇到的任何错误。由于授权规则是累加的，如果规则出现在列表中，即使该列表不完整，也可以假定主题具有该权限。

  • status.incomplete (boolean), required

    Incomplete 为 true 时，表示此调用的返回规则不完整。最常见的情况是遇到不支持规则评估的外部授权器等授权器。

  • status.nonResourceRules ([]NonResourceRule), required

    原子：将在合并期间被替换

    NonResourceRules 是主题允许对非资源执行的操作列表。列表顺序不重要，可能包含重复项，并且可能不完整。

    NonResourceRule 包含描述非资源的规则的信息

    • status.nonResourceRules.verbs ([]string), required

      原子：将在合并期间被替换

      Verb 是 Kubernetes 非资源 API 动词的列表，例如：get、post、put、delete、patch、head、options。 "*" 表示全部。

    • status.nonResourceRules.nonResourceURLs ([]string)

      原子：将在合并期间被替换

      NonResourceURLs 是用户应具有访问权限的部分 URL 集合。s 允许，但仅作为路径中的最后一步。 "*" 表示全部。

  • status.resourceRules ([]ResourceRule), required

    原子：将在合并期间被替换

    ResourceRules 是主题允许对资源执行的操作列表。列表顺序不重要，可能包含重复项，并且可能不完整。

    ResourceRule 是主题允许对资源执行的操作列表。列表顺序不重要，可能包含重复项，并且可能不完整。

    • status.resourceRules.verbs ([]string), required

      原子：将在合并期间被替换

      Verb 是 Kubernetes 资源 API 动词的列表，例如：get、list、watch、create、update、delete、proxy。 "*" 表示全部。

    • status.resourceRules.apiGroups ([]string)

      原子：将在合并期间被替换

      APIGroups 是包含资源的 APIGroup 的名称。如果指定了多个 API 组，则对任何枚举的资源在任何 API 组中提出的任何请求都将被允许。 "*" 表示全部。

    • status.resourceRules.resourceNames ([]string)

      原子：将在合并期间被替换

      ResourceNames 是规则适用的名称的可选白名单。空集表示允许所有内容。 "*" 表示全部。

    • status.resourceRules.resources ([]string)

      原子：将在合并期间被替换

      Resources 是此规则应用的资源的列表。 "*" 表示指定 apiGroups 中的全部。 "/foo" 表示指定 apiGroups 中所有资源的子资源 'foo'。

  • status.evaluationError (string)

    EvaluationError 可以与 Rules 一起出现。它表示在规则评估过程中发生错误，例如不支持规则评估的授权器，并且 ResourceRules 和/或 NonResourceRules 可能不完整。

SelfSubjectRulesReviewSpec

SelfSubjectRulesReviewSpec 定义了 SelfSubjectRulesReview 的规范。

• namespace (string)

  用于评估规则的命名空间。必需。

操作

create 创建 SelfSubjectRulesReview

HTTP 请求

POST /apis/authorization.k8s.io/v1/selfsubjectrulesreviews

Parameters

• body: SelfSubjectRulesReview, required

• dryRun (在查询中): string

  dryRun

• fieldManager (在查询中): string

  fieldManager

• fieldValidation (在查询中): string

  fieldValidation

• pretty (在查询中): string

  pretty

响应

200 (SelfSubjectRulesReview): OK

201 (SelfSubjectRulesReview): Created

202 (SelfSubjectRulesReview): Accepted

401: 未授权