第10章 特定のクラスター管理ロールの設定
Red Hat Advanced Cluster Management for Kubernetes をインストールすると、デフォルト設定で Red Hat Advanced Cluster Management ハブクラスターに cluster-admin ロールが提供されます。このパーミッションを使用すると、ハブクラスターでマネージドクラスターを作成、管理、およびインポートできます。状況によっては、ハブクラスターのすべてのマネージドクラスターへのアクセスを提供するのではなく、ハブクラスターが管理する特定のマネージドクラスターへのアクセスを制限する必要がある場合があります。
クラスターロールを定義し、ユーザーまたはグループに適用することで、特定のマネージドクラスターへのアクセスを制限できます。ロールを設定して適用するには、以下の手順を実行します。
以下の内容を含む YAML ファイルを作成してクラスターロールを定義します。
apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: <clusterrole-name> rules: - apiGroups: - cluster.open-cluster-management.io resources: - managedclusters resourceNames: - <managed-cluster-name> verbs: - get - list - watch - update - delete - deletecollection - patch - apiGroups: - cluster.open-cluster-management.io resources: - managedclusters verbs: - create - apiGroups: - "" resources: - namespaces resourceNames: - <managed-cluster-name> verbs: - create - get - list - watch - update - delete - deletecollection - patch - apiGroups: - register.open-cluster-management.io resources: - managedclusters/accept resourceNames: - <managed-cluster-name> verbs: - update
clusterrole-nameは、作成するクラスターロールの名前に置き換えます。managed-cluster-nameは、ユーザーにアクセスを許可するマネージドクラスターの名前に置き換えます。以下のコマンドを入力して
clusterrole定義を適用します。oc apply <filename>
filenameを、先の手順で作成した YAML ファイルの名前に置き換えます。以下のコマンドを入力して、
clusterroleを指定されたユーザーまたはグループにバインドします。oc adm policy add-cluster-role-to-user <clusterrole-name> <username>
clusterrole-nameを、直前の手順で適用したクラスターロールの名前に置き換えます。usernameを、クラスターロールをバインドするユーザー名に置き換えます。