apiVersion: authorization.k8s.io/v1
import "k8s.io/api/authorization/v1"
SubjectAccessReview перевіряє, чи може користувач або група виконати певну дію.
| Поле | Опис |
|---|---|
apiVersionstring | APIVersion визначає версію схеми цього представлення обʼєкта. Сервери повинні конвертувати розпізнані схеми до останнього внутрішнього значення і можуть відхиляти нерозпізнані значення. Більше інформації: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#resources |
kindstring | Kind є рядковим значенням, що представляє REST ресурс, який цей обʼєкт представляє. Сервери можуть визначати це з кінцевої точки, до якої клієнт надсилає запити. Не можна оновлювати. У CamelCase. Більше інформації: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#types-kinds |
metadataObjectMeta | metadata є стандартними метаданими списку. Більше інформації: https://git.k8s.io/community/contributors/devel/sig-architecture/api-conventions.md#metadata |
spec *SubjectAccessReviewSpec | spec містить інформацію про запит, що оцінюється |
statusSubjectAccessReviewStatus | status заповнюється сервером і вказує, чи дозволено запит чи ні |
SubjectAccessReviewSpec є описом запиту на доступ. Точнісінько одне з полів resourceAttributes або nonResourceAttributes повинно бути встановлено.
| Поле | Опис |
|---|---|
extraobject | extra відповідає методу user.Info.GetExtra() з автентифікатора. Оскільки це є вхідними даними для авторизатора, тут потрібно застосувати рефлексію. |
groupsstring array | groups є групами, для яких ви перевіряєте доступ. |
nonResourceAttributesNonResourceAttributes | nonResourceAttributes описує інформацію для запиту на доступ до не-ресурсу |
resourceAttributesResourceAttributes | resourceAttributes описує інформацію для запиту на доступ до ресурсу |
uidstring | uid містить інформацію про користувача, який робить запит. |
userstring | user є користувачем, для якого ви перевіряєте доступ. Якщо ви вказуєте "User", але не "Groups", то це інтерпретується як "Що якщо користувач не є членом жодної групи". |
SubjectAccessReviewStatus
| Поле | Опис |
|---|---|
allowed *boolean | allowed є обовʼязковим. True, якщо дія дозволена, false в іншому випадку. |
deniedboolean | denied є необовʼязковим. True, якщо дія буде заборонена, false в іншому випадку. Якщо allowed є false і denied є false, то авторизатор не має думки щодо того, чи дозволяти дію. Denied не може бути true, якщо Allowed є true. |
evaluationErrorstring | evaluationError є індикацією того, що під час перевірки авторизації сталася помилка. Можливо отримати помилку і все ж мати можливість визначити статус авторизації. Наприклад, RBAC може не мати ролі, але достатньо ролей все ще присутні і привʼязані для оцінки запиту. |
reasonstring | reason є необовʼязковим. Вказує, чому запит був дозволений або заборонений. |