在安装OKD时,我想授予用户查看绝对通过API可用的任何资源的权限。据我所知,我最好的选择是创建一个用户并执行
oc adm policy add-cluster-role-to-user cluster-reader <user>授予用户群集读取者角色。
但是,我仍然无法通过阅读文档了解该用户是否可以访问145个GET端点here和116个端点here
上的所有可用内容在一个示例中,我让管理员在/ oapi / v1 / clusterpolicies上执行GET并接收
{“种类”:“状态”,“ apiVersion”:“ v1”,“元数据”:{
},“状态”:“故障”,“消息”:“服务器找不到 请求的资源”,“原因”:“未找到”,“详细信息”:{
},“代码”:404
但是,当我只有创建的用户要向其中添加集群读取器时,与该用户执行相同的调用会返回:
{“种类”:“状态”,“ apiVersion”:“ v1”,“元数据”:{
},“状态”:“失败”,“消息”:“群集策略为 禁止:用户\“ \”无法列出 群集范围内的群集策略:没有匹配的RBAC策略”,
“原因”:“禁止”,“详细信息”:{ “ kind”:“ clusterpolicies”},“ code”:403
诸如此类的示例是否仅仅是不存在的资源的错误代码方面的差异,或者如果我真正希望它阅读所有内容,那么我的用户是否缺少角色?