As seções a seguir descrevem os ClusterRoles do Kubernetes criados pelo Kf e listam as permissões contidas em cada um deles.
Papel de desenvolvedor do espaço
O papel de desenvolvedor do espaço agrega as permissões que os desenvolvedores de aplicativos usam para implantar e gerenciar aplicativos em um espaço do Kf.
Use o comando a seguir para recuperar as permissões concedidas aos desenvolvedores do espaço do cluster.
kubectl describe clusterrole space-developerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
secrets [] [] [*]
*.kf.dev [] [] [*]
networkpolicies.networking.k8s.io [] [] [*]
pods/exec [] [] [create]
*.upload.kf.dev [] [] [create]
pods/log [] [] [get list watch]
pods [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Papel de auditor do espaço
O papel de auditor do espaço agrega permissões somente leitura que os auditores e as ferramentas automatizadas usam para validar aplicativos em um espaço do Kf.
Use o comando a seguir para recuperar as permissões concedidas aos auditores do espaço no cluster.
kubectl describe clusterrole space-auditorA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
events [] [] [*]
apps.kf.dev [] [] [get list watch]
rolebindings.rbac.authorization.k8s.io [] [] [get list watch]
Papel de gerenciador do espaço
O papel de gerenciador do espaço agrega permissões que permitem a delegação de tarefas a outros em um espaço do Kf.
Para recuperar as permissões concedidas aos gerenciadores do espaço no cluster, use o comando a seguir.
kubectl describe clusterrole space-managerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
clusterroles.rbac.authorization.k8s.io [] [space-auditor] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-developer] [bind]
clusterroles.rbac.authorization.k8s.io [] [space-manager] [bind]
rolebindings.rbac.authorization.k8s.io [] [] [get list update patch watch]
apps.kf.dev [] [] [get list watch]
Papel de gerenciador dinâmico do espaço
Cada espaço do Kf cria um ClusterRole com o nome
SPACE_NAME-manager, em que
SPACE_NAME-manager é chamado de papel de gerenciador dinâmico.
O Kf
concede automaticamente a todas as entidades o papel space-manager no
espaço e o papel de gerenciador dinâmico no escopo do cluster. Com as permissões do
papel de gerenciador dinâmico, os gerenciadores podem atualizar as configurações do
espaço com o nome fornecido.
Use o comando a seguir para recuperar as permissões concedidas ao papel de gerenciador dinâmico de qualquer espaço no cluster.
kubectl describe clusterrole SPACE_NAME-managerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
spaces.kf.dev [] [SPACE_NAME] [get list watch update patch]
Papel de leitor do cluster do Kf
O Kf concede automaticamente o papel kf-cluster-reader a todos os usuários em um
cluster que já têm o papel space-developer, space-auditor ou space-manager
em um espaço.
É possível recuperar as permissões concedidas aos leitores de cluster do Kf no espaço no seu cluster usando o comando a seguir.
kubectl describe clusterrole kf-cluster-readerA instalação padrão do Kf oferece as seguintes permissões:
PolicyRule:
Resources Non-Resource URLs Resource Names Verbs
--------- ----------------- -------------- -----
namespaces [] [kf] [get list watch]
clusterservicebrokers.kf.dev [] [] [get list watch]
spaces.kf.dev [] [] [get list watch]