第 7 章 撤销对 ROSA 集群的访问
身份提供程序(IDP)控制对 AWS (ROSA)集群上的 Red Hat OpenShift Service 的访问。要撤销用户对集群的访问,您必须在为身份验证设置的 IDP 中配置。
7.1. 使用 ROSA CLI 撤销管理员访问权限
您可以撤销用户的管理员访问权限,以便在没有管理员特权的情况下访问集群。要删除用户的管理员访问权限,您必须撤销 dedicated-admin 或 cluster-admin 权限。您可以使用 Red Hat OpenShift Service on AWS (ROSA) CLI、rosa 或 OpenShift Cluster Manager 控制台撤销管理员特权。
7.1.1. 使用 ROSA CLI 撤销 dedicated-admin 访问
如果您是创建集群、机构管理员用户或超级用户用户的用户,您可以撤销 dedicated-admin 用户的访问权限。
前提条件
- 您已在集群中添加身份提供程序(IDP)。
- 您有 IDP 用户名,用于撤销其权限的用户。
- 已登陆到集群。
流程
输入以下命令撤销用户的
dedicated-admin访问权限:$ rosa revoke user dedicated-admin --user=<idp_user_name> --cluster=<cluster_name>
输入以下命令验证您的用户是否不再具有
dedicated-admin访问权限。输出不会列出撤销的用户。$ oc get groups dedicated-admins
7.1.2. 使用 ROSA CLI 撤销 cluster-admin 访问
只有创建集群的用户才能撤销 cluster-admin 用户的访问权限。
前提条件
- 您已在集群中添加身份提供程序(IDP)。
- 您有 IDP 用户名,用于撤销其权限的用户。
- 已登陆到集群。
流程
输入以下命令撤销用户的
cluster-admin访问权限:$ rosa revoke user cluster-admins --user=myusername --cluster=mycluster
输入以下命令验证用户是否不再具有
cluster-admin访问权限。输出不会列出撤销的用户。$ oc get groups cluster-admins