Управление доступом
Кластеры Kubernetes версии 1.23 и выше тесно интегрированы с платформой VK Cloud:
-
Используется технология единого входа (Single Sign-On, SSO).
Пользователь авторизуется в кластере Kubernetes с теми те же реквизитами, что и при входе в личный кабинет VK Cloud.
Функциональность SSO нельзя отключить.
-
Роли пользователя в личном кабинете влияют на:
-
Доступные действия в кластере.
Пользователю с определенной ролью личного кабинета назначается соответствующая роль Kubernetes. Роль Kubernetes определяет, какие объекты кластера доступны пользователю, а также какие действия разрешено выполнять над этими объектами.
-
Aдминистратор Kubernetes управляет доступом к кластерам, назначая пользователям роли в личном кабинете.
Нет необходимости конфигурировать права пользователей отдельно для личного кабинета и для кластеров Kubernetes. Например, отключение учетной записи пользователя или отзыв роли в личном кабинете приводит к отзыву прав на доступ к кластерам Kubernetes.
Роль Kubernetes: view.
Роль предоставляет доступ на чтение к большинству объектов в пространстве имен.
Роль не предоставляет:
-
Доступ на просмотр или изменение ролей и связывания ролей.
-
Доступ к секретам.
Пользователь с доступом к секретам может получить доступ к учетным данным любого сервисного аккаунта в пространстве имен. Это позволит получить доступ к API от имени любого сервисного аккаунта в пространстве имен. Для роли с правами «только чтение» это будет расцениваться, как превышение привилегий (privilege escalation).
Чтобы просмотреть список доступных ресурсов для роли, подключитесь к кластеру и выполните команду:
kubectl describe clusterrole <роль в Kubernetes>