如何通过开放策略策略控制 Kubernetes GET 对象请求?

【问题标题】:How to policy control kubernetes GET object request via open policy?如何通过开放策略策略控制 Kubernetes GET 对象请求?
【发布时间】:2019-12-15 08:13:47
【问题描述】:

opa(开放策略)可以在创建、删除或更新 Kubernetes 资源之前引用其策略。但在获取(描述或获取)时不能。如何强制执行此操作以获取请求?这是 OPA 的路线图还是准入控制器的范围?

我们希望阻止查看服务帐户令牌。

【问题讨论】:

    标签: kubernetes open-policy-agent


    【解决方案1】:

    Kubernetes 中的准入控制不允许您控制 get。它只允许您控制createupdatedeleteconnectvalidating webhook 及其后代 RuleWithOperations(没有方便的链接)的 API 文档没有说明这一点,但 docs introducing API access 明确说明了这一点。

    要控制get,你需要使用authorization。要使用 OPA 进行授权,您需要 authorization webhook mode

    【讨论】:

      猜你喜欢
      • 2021-05-05
      • 2019-04-18
      • 2018-11-12
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2021-12-17
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode