Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

4.2.5.5.2. SCC へのロールベースのアクセス

OpenShift Container Platform 3.11 以降、SCC を RBAC で処理されるリソースとして指定できます。これにより、SCC へのアクセスのスコープを特定プロジェクトまたはクラスター全体に設定できます。ユーザー、グループ、またはサービスアカウントを SCC に直接割り当てると、クラスター全体のスコープが保持されます。

ロールについての SCC へのアクセスを組み込むには、ロールの定義で以下のルールを指定します。 .Role-Based Access to SCCs

rules:
- apiGroups:
  - security.openshift.io 1
  resources:
  - securitycontextconstraints 2
  verbs:
  - create
  - delete
  - deletecollection
  - get
  - list
  - patch
  - update
  - watch
  resourceNames:
  - myPermittingSCC 3
1
securitycontextconstraints リソースを含む API グループ
2
ユーザーが SCC 名を resourceNames フィールドに指定することを許可するリソースグループの名前
3
アクセスを付与する SCC の名前のサンプル

このようなルールを持つローカルまたはクラスターロールは、rolebinding または clusterrolebinding でこれにバインドされたサブジェクトが myPermittingSCC というユーザー定義の SCC を使用できるようにします。

注記

RBAC はエスカレーションを防ぐように設計されているため、プロジェクト管理者は 制限付き SCC を含む SSC リソースで動詞 use を使用することがデフォルトで許可されていません。 そのため、プロジェクト管理者は SCC へのアクセスを付与することはできません。