2.5.12. 管理 IAM 策略

应用 IAM 策略来检查受管集群中所允许的集群管理员数量。在以下部分中了解如何创建、应用、查看和更新您的 IAM 策略。

2.5.12.1. 创建 IAM 策略

您可以使用命令行界面 (CLI) 或者从控制台为 IAM 策略创建 YAML 文件。

2.5.12.1.1. 通过 CLI 创建 IAM 策略

完成以下步骤,通过 CLI 创建 IAM 策略:

  1. 使用 IAM 策略定义创建 YAML 文件。运行以下命令:

    kubectl create -f iam-policy-1.yaml

    您的 IAM 策略可能类似以下 YAML 文件:

    apiVersion: policy.open-cluster-management.io/v1
    kind: IamPolicy
    metadata:
      name: iam-grc-policy
      label:
        category: "System-Integrity"
    spec:
      namespaceSelector:
        include: ["default","kube-*"]
        exclude: ["kube-system"]
      remediationAction: inform
      disabled: false
      maxClusterRoleBindingUsers: 5
  2. 运行以下命令来应用策略:

    kubectl apply -f <iam-policy-file-name>  --namespace=<mcm_namespace>
  3. 运行以下命令,验证并列出策略:

    kubectl get <iam-policy-file-name> --namespace=<mcm_namespace>

您的 IAM 策略已创建。

2.5.12.1.1.1. 通过 CLI 查看您的 IAM 策略

完成以下步骤以查看您的 IAM 策略:

  1. 运行以下命令,查看具体 IAM 策略的详情:

    kubectl get iampolicy <policy-name> -n <namespace> -o yaml
  2. 运行以下命令,查看您的 IAM 策略的描述:

    kubectl describe iampolicy <name> -n <namespace>
2.5.12.1.2. 从控制台创建 IAM 策略

从控制台创建 IAM 策略时,也会在 YAML 编辑器中创建 YAML 文件。完成以下步骤,从控制台创建 IAM 策略:

  1. 从控制台登录到集群。
  2. 在导航菜单中点击 Govern risk
  3. 点击 Create policy
  4. Specifications 字段中选择 IamPolicy。选择策略时会自动设置其余参数的值。您可以编辑值。
  5. 点击 Create

已创建一个 IAM 策略。

2.5.12.1.2.1. 从控制台查看您的 IAM 策略

您可以在控制台中查看任何 IAM 策略及其状态。

  1. 从控制台登录到集群。
  2. 在导航菜单中点击 Govern risk 来查看您的策略的表列表。

    :您可以通过选择 Policies 标签页或 Cluster violations 标签页来过滤策略列表。

  3. 选择一个策略来查看更多详情。
  4. 选择 Status 选项卡来查看 IAM 策略违反情况。