Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

10.3. 역할 바인딩 관리

사용자 또는 그룹에 역할을 추가하거나 바인딩 하면 역할 에서 부여하는 관련 액세스 권한이 사용자 또는 그룹에 부여됩니다. oc adm policy 명령을 사용하여 사용자 및 그룹에 역할을 추가하거나 사용자 및 그룹으로부터 역할을 제거할 수 있습니다.

다음 작업을 사용하여 로컬 역할 바인딩에 대한 사용자 또는 그룹의 연결된 역할을 관리할 때 -n 플래그로 프로젝트를 지정할 수 있습니다. 지정하지 않으면 현재 프로젝트가 사용됩니다.

표 10.1. 로컬 역할 바인딩 작업

명령설명

$ oc adm policy who-can <verb> <resource>

리소스에 작업을 수행할 수 있는 사용자를 나타냅니다.

$ oc adm policy add-role-to-user <role> <username>

지정된 역할을 현재 프로젝트의 지정된 사용자에게 바인딩합니다.

$ oc adm policy remove-role-from-user <role> <username>

현재 프로젝트에서 지정된 사용자로부터 지정된 역할을 제거합니다.

$ oc adm policy remove-user <username>

현재 프로젝트에서 지정된 사용자 및 해당 사용자의 역할을 모두 제거합니다.

$ oc adm policy add-role-to-group <role> <groupname>

현재 프로젝트에서 지정된 그룹에 지정된 역할을 바인딩합니다.

$ oc adm policy remove-role-from-group <role> <groupname>

현재 프로젝트에서 지정된 그룹의 지정된 역할을 제거합니다.

$ oc adm policy remove-group <groupname>

현재 프로젝트에서 지정된 그룹과 해당 그룹의 역할을 모두 제거합니다.

--rolebinding-name=

oc adm policy 명령과 함께 사용하여 사용자 또는 그룹에 할당된 역할 바인딩 이름을 유지할 수 있습니다.

다음 작업을 사용하여 클러스터 역할 바인딩을 관리할 수도 있습니다. 클러스터 역할 바인딩에 네임스페이스가 아닌 리소스가 사용되므로 -n 플래그가 해당 작업에 사용되지 않습니다.

표 10.2. 클러스터 역할 바인딩 작업

명령설명

$ oc adm policy add-cluster-role-to-user <role> <username>

클러스터의 모든 프로젝트에 대해 지정된 사용자에게 지정된 역할을 바인딩합니다.

$ oc adm policy remove-cluster-role-from-user <role> <username>

클러스터의 모든 프로젝트에 대해 지정된 사용자로부터 지정된 역할을 제거합니다.

$ oc adm policy add-cluster-role-to-group <role> <groupname>

클러스터의 모든 프로젝트에 대해 지정된 역할을 지정된 그룹에 바인딩합니다.

$ oc adm policy remove-cluster-role-from-group <role> <groupname>

클러스터의 모든 프로젝트에 대해 지정된 그룹에서 지정된 역할을 제거합니다.

--rolebinding-name=

oc adm policy 명령과 함께 사용하여 사용자 또는 그룹에 할당된 역할 바인딩 이름을 유지할 수 있습니다.

예를 들어 다음을 실행하여 joe-projectalice 사용자에게 admin 역할을 추가할 수 있습니다.

$ oc adm policy add-role-to-user admin alice -n joe-project

그런 다음 로컬 역할 바인딩을 보고 출력에 추가되었는지 확인할 수 있습니다.

$ oc describe rolebinding.rbac -n joe-project
Name:		admin
Labels:		<none>
Annotations:	<none>
Role:
  Kind:	ClusterRole
  Name:	admin
Subjects:
  Kind	Name	Namespace
  ----	----	---------
  User	joe


Name:		admin-0 1
Labels:		<none>
Annotations:	<none>

Role:
  Kind:  ClusterRole
  Name:  admin
Subjects:
  Kind  Name   Namespace
  ----  ----   ---------
  User  alice 2


Name:		system:deployers
Labels:		<none>
Annotations:	<none>
Role:
  Kind:	ClusterRole
  Name:	system:deployer
Subjects:
  Kind			Name		Namespace
  ----			----		---------
  ServiceAccount	deployer	joe-project


Name:		system:image-builders
Labels:		<none>
Annotations:	<none>
Role:
  Kind:	ClusterRole
  Name:	system:image-builder
Subjects:
  Kind			Name	Namespace
  ----			----	---------
  ServiceAccount	builder	joe-project


Name:		system:image-pullers
Labels:		<none>
Annotations:	<none>
Role:
  Kind:	ClusterRole
  Name:	system:image-puller
Subjects:
  Kind	Name					Namespace
  ----	----					---------
  Group	system:serviceaccounts:joe-project
1
새 역할 바인딩은 필요에 따라 증가하여 기본 이름으로 생성됩니다. 수정할 기존 역할 바인딩을 지정하려면 사용자에게 역할을 추가할 때 --rolebinding-name 옵션을 사용합니다.
2
사용자 alice 가 추가되었습니다.