3.3.3.3. OpenShift Dedicated 中的特权访问控制

Red Hat SRE 遵循访问 OpenShift Dedicated 和公共云供应商组件时最低特权的原则。手动 SRE 访问也有四种基本类别:

  • SRE 管理通过红帽客户门户访问,具有正常双因素的身份验证,无特权性问题。
  • SRE admin 通过带有常规双因素身份验证的 Red Hat Enterprise SSO 进行访问,且不具有特权特权。
  • OpenShift elevation 是使用红帽 SSO 进行的手动评估。它被完全审核,并且每个操作 SRE 均需要管理批准。
  • 云供应商访问或提升,这是云供应商控制台或 CLI 访问的手册。访问仅限于 60 分钟,并被完全审计。

每个访问类型都有不同级别的组件访问:

组件典型的 SRE 管理员访问权限(红帽客户门户网站)典型的 SRE 管理员访问权限(Red Hat SSO)OpenShift elevation云供应商访问权限

OpenShift Cluster Manager

R/W

无权限

无权限

无权限

OpenShift Web 控制台

无权限

R/W

R/W

无权限

节点操作系统

无权限

包含升级的操作系统和网络权限的特定列表。

包含升级的操作系统和网络权限的特定列表。

无权限

AWS 控制台

无权限

没有访问权限,但这是用于请求云提供商访问的帐户。

无权限

使用 SRE 身份的所有云供应商权限。