Menu Close

Red Hat Training

A Red Hat training course is available for OpenShift Container Platform

15.8.10. 将 SCC 添加到用户、组或项目

在添加 SCC 到用户或组之前,您可以先使用 scc-review 选项来检查用户或组是否可以创建容器集。如需更多信息,请参阅 授权 主题。

SCC 不直接授予项目。相反,您要将服务帐户添加到 SCC 中,并指定 Pod 上的服务帐户名称,或者在未指定的情况下作为 默认 服务帐户运行。

将 SCC 添加到用户:

$ oc adm policy add-scc-to-user <scc_name> <user_name>

将 SCC 添加到服务帐户:

$ oc adm policy add-scc-to-user <scc_name> \
    system:serviceaccount:<serviceaccount_namespace>:<serviceaccount_name>

如果您当前处于服务帐户所属的项目中,您可以使用 -z 标志,只需指定 <serviceaccount_name>

$ oc adm policy add-scc-to-user <scc_name> -z <serviceaccount_name>
重要

强烈 建议您使用 -z 标志,因为它有助于防止拼写错误,并确保只为指定的服务帐户授予访问权限。如果没有在项目中,请使用 -n 选项来指示它应用到的项目命名空间。

将 SCC 添加到组中:

$ oc adm policy add-scc-to-group <scc_name> <group_name>

将 SCC 添加到命名空间中的所有服务帐户:

$ oc adm policy add-scc-to-group <scc_name> \
    system:serviceaccounts:<serviceaccount_namespace>