Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

4.2.4. クラスターロールおよびローカルロール

ロールはポリシールールのコレクションであり、一連のリソースで実行可能な一連の許可された動詞です。OpenShift Container Platform には、クラスター全体 または ローカル で、ユーザーおよびグループにバインドできるデフォルトのクラスターロールのセットが含まれます。

デフォルトのクラスターロール説明

admin

プロジェクトマネージャー。ローカルバインディングで使用されている場合、admin ユーザーにはプロジェクトのリソースを閲覧し、クォータを除くプロジェクトのすべてのリソースを変更する権限があります。

basic-user

プロジェクトおよびユーザーについての基本的な情報を取得できるユーザーです。

cluster-admin

すべてのプロジェクトですべてのアクションを実行できるスーパーユーザーです。ローカルバインディング でユーザーにバインドされる場合、クォータに対する 完全な制御 およびプロジェクト内のすべてのリソースに対するすべてのアクションを実行できます。

cluster-status

基本的なクラスターのステータス情報を取得できるユーザーです。

edit

プロジェクトのほとんどのプロジェクトを変更できるが、ロールまたはバインディングを表示したり、変更したりする機能を持たないユーザーです。

self-provisioner

独自のプロジェクトを作成できるユーザーです。

view

変更できないものの、プロジェクトでほとんどのオブジェクトを確認できるユーザーです。それらはロールまたはバインディングを表示したり、変更したりできません。

cluster-reader

クラスター内のオブジェクトを読み取れるが、表示できないユーザーです。

ヒント

ユーザーおよびグループ は一度に複数のロールに関連付けたり、バインド したりできることに留意してください。

プロジェクト管理者は、ローカルロールとローカルバインディングを表示する ために、CLI を使用してロールを可視化できます。 これには、それぞれのロールが関連付けられる動詞およびリソースのマトリクスが含まれます。

重要

プロジェクト管理者にバインドされるクラスターロールは、ローカルバインディングによってプロジェクトに制限されます。これは、cluster-admin または system:admin に付与されるクラスターロールのように クラスター全体 でバインドされる訳ではありません。

クラスターロールは、クラスターレベルで定義される ロール ですが、クラスターレベルまたはプロジェクトレベルのいずれかでバインドできます。

プロジェクトのローカルロールの作成方法についてはこちらを参照してください。

4.2.4.1. クラスターロールの更新

OpenShift Container Platform のクラスターをアップグレードした後に、デフォルトのロールが更新され、サーバーの起動時に自動調整されます。調整時に、デフォルトのロールで足りないパーミッションは追加されます。ロールに別途パーミッションを追加していた場合には、削除されます。

デフォルトのロールをカスタマイズし、自動的にロールを調整されないように設定していた場合には、OpenShift Container Platform のアップグレード時に、手動でポリシー定義を更新する必要があります。